Menu
in

Новый вирус ворует криптовалюту

На смену вирусам-майнерам пришёл вирус-воришка.

“Письма счастья” и прочие неприятности

Новая вредоносная программа ComboJack заменяет в кошельках адрес получателя на адрес злоумышленников и отправленные средства уходят на чужой счёт. Страдают от него в первую очередь те пользователи, которые не проверяют адрес перед подтверждением транзакции.

Причём спектр криптовалют широк. Он ворует биткоины, лайткоины, эфир и монеро. Но программа опасна не только для пользователей криптовалюты. Под угрозой пользователи сервисов WebMoney и Яндекс.Деньги.

Исследователи по проблемам кибербезопасности из Palo Alto Networks обнаружили эту вредоносную программу при наблюдении за фишинговой e-mail-кампанией, направленной на американских и японских пользователей.

Хакеры по-прежнему используют рассылку спамовых e-mail-писем с зараженным файлом. Любой неопытный или невнимательный пользователь может попасться на удочку. И что самое важное – попадаются. Пользователя провоцируют открыть прикрепленный файл, который и несёт в себе угрозу.

В результате этого запускается встроенный RTF-файл с эксплойтом CVE-2017-8759, который позволяет злоумышленникам вводить код и запускать команды PowerShell, используемые для загрузки и выполнения ComboJack.

Исследователи отмечают, что методы распространения вредоносных писем и программ аналогичны тем, которые использовались в ходе кампаний по распространению вирусов-вымогателей Dridex Trojan и Locky в 2017 году.

Они оказались довольно успешными, несмотря на простую тактику.

После установки на компьютере ComboJack использует встроенный инструмент Windows attrib.exe, который позволяет ему скрываться от пользователя и выполнять процессы с высокими привилегиями.

С этого момента ComboJack входит в рабочий цикл, при котором он анализирует содержимое буфера обмена через каждые полсекунды, чтобы проверить, не скопировал ли человек информацию о кошельке и криптовалютах.

Если ComboJack обнаружит адрес кошелька, он заменит его на другой, который принадлежит злоумышленникам. Положение усугубляется тем, что у многих пользователей нет привычки проверять адрес, куда должны быть отправлены средства.

“Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки”.

Схема старая, а потому существует способ защиты от неё. Данная уязвимость уже была исправлена Windows в сентябре 2017 года. Всё, что необходимо, это регулярно обновлять систему. Или, как минимум, установить обновление системы безопасности и защиту от вредоносных программ от сентября 2017 года. Да и с письмами нужно быть аккуратнее, если они адресованы не вам лично.

 

Leave a Reply

Exit mobile version