Майнинг Криптовалюты

Внимание! Обнаружен новый вирус ворующий криптовалюту при транзакциях

Хакеры взламывают криптокошельки

Новая вредоносная программа ComboJack крадёт Bitcoin, Litecoin, Monero и Ethereum путём замены адреса назначения криптовалютной транзакции на адрес кошелька злоумышленника, меняя данные в буфере обмена.

Его мишенями становятся люди, которые не проверяют адреса  назначения транзакций перед их окончательным утверждением. Интересно, что ComboJack предназначена в том числе и для «некриптовалютных» цифровых платёжных систем, включая WebMoney и Яндекс.Деньги.

Исследователи по проблемам кибербезопасности из Palo Alto Networks обнаружили эту вредоносную программу при наблюдении за фишинговой e-mail-кампанией, направленной на американских и японских пользователей. То, что злоумышленники до сих пор усиленно используют спам для распространения вредоносных программ, подтверждает, что они успешно воруют криптовалюты у безалаберных и доверчивых пользователей.

В шаблонах спамовых писем нет обращения к потенциальным жертвам по имени, но есть утверждение о том, что «в моём офисе [кто-то] забыл паспорт», просьба открыть «отсканированный документ» и «проверить, не знаете ли вы владельца».

Жертву подстрекают на открытие прикреплённого файла. В результате этого запускается встроенный RTF-файл с эксплойтом CVE-2017-8759, который позволяет злоумышленникам вводить код и запускать команды PowerShell, используемые для загрузки и выполнения ComboJack.

Исследователи отмечают, что методы распространения вредоносных писем и программ аналогичны тем, которые использовались в ходе кампаний по распространению вирусов-вымогателей Dridex Trojan и Locky в 2017 году. Они оказались довольно успешными, несмотря на простую тактику.

После установки на компьютере ComboJack использует встроенный инструмент Windows attrib.exe, который позволяет ему скрываться от пользователя и выполнять процессы с высокими привилегиями.

С этого момента ComboJack входит в рабочий цикл, при котором он анализирует содержимое буфера обмена через каждые полсекунды, чтобы проверить, не скопировал ли человек информацию с адресом кошелька криптовалют:

Если ComboJack обнаружит адрес кошелька, он заменит его на другой, который принадлежит злоумышленникам. Положение усугубляется тем, что у многих пользователей нет привычки проверять адрес, куда должны быть отправлены средства.

Исследователи из Palo Alto Networks пишут в отчете:

Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки.

У ComboJack есть сходства с ранее обнаруженной формой вредоносного программного обеспечения CryptoShuffler, хотя нет прямых доказательств того, что они так или иначе связаны. В Palo Alto Networks также говорят, что пока нет каких-либо предположений о том, кто стоит за ComboJack.

Поскольку ComboJack полагается на использование уязвимости, которая была исправлена ​​компанией Microsoft в сентябре 2017 года, один из возможных способов защиты от вредоносной программы — обновление операционной системы.

Следует также остерегаться неожиданных писем и странных вложений, особенно если такое сообщение не адресовано вам напрямую.


The following two tabs change content below.
Mining-Cryptocurrency.ru
Материал подготовлен редакцией сайта "Майнинг Криптовалюты", в составе: Главный редактор - Антон Сизов, Журналисты - Игорь Лосев, Виталий Воронов, Дмитрий Марков, Елена Карпина. Мы предоставляем самую актуальную информацию о рынке криптовалют, майнинге и технологии блокчейн. Отказ от ответственности: все материалы на сайте Mining-Cryptocurrency.ru имеют исключительно информативные цели и не являются торговой рекомендацией или публичной офертой к покупке каких-либо криптовалют или осуществлению любых иных инвестиций и финансовых операций.
Exit mobile version