Исследователи проблем кибербезопасности из Palo Alto Networks при наблюдении за фишинговой e-mail-кампанией, направленной против американских и японских пользователей, обнаружили новую вредоносную программу ComboJack. Она крадет Биткоины, Лайткоины, Monero и Ethereum через замену адреса назначения криптовалютной транзакции на адрес кошелька злоумышленника. Очевидно, что жертвами этого вредоносного ПО становятся люди, которые совершают транзакции без предварительной проверки адреса. Кстати, ComboJack может воровать валюту не только в криптовалютных платежных системах, но и, например, в WebMoney или Яндекс.Деньгах.
Тот факт, что специалисты по кибербезопасности обнаружили данную программу во время наблюдения за фишинговой e-mail-кампанией означает, что хакеры до сих пор довольно успешно используют спам для распространения вредоносных программ. В шаблонах спамовых писем не было личных обращений к получателям, однако, они содержали примерно такие сообщения:
“В моем офисе [кто-то] забыл паспорт, просьба открыть “отсканированный документ” и проверить, не знаете ли вы владельца”.
В результате открытия такого файла запускается RTF-файл с эксплойтом CVE-2017–8759, что дает злоумышленникам возможность загрузить и запустить ComboJack. После установки на компьютер, данная программа использует встроенный инструмент Windows attrib.exe, которые позволяет ей довольно эффективно скрываться и выполнять процессы с высокими привилегиями. С этого момента ComboJack анализирует данные буфера обмена каждые полсекунды, чтобы отслеживать, не скопировал ли пользователь данные о своем кошельке. Если программе удается распознать данную информацию, она заменяет адрес кошелька на другой. Так и происходит ограбление.
“Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки”, — сказали специалисты из Palo Alto Networks.
На данный момент неизвестно, кто стоит за данной программой, однако, специалисты сходятся во вменении, что данная кампания крайне похожа на CryptoShuffler, обнаруженный ранее. Надеемся, вы не открываете подозрительные письма и проверяте адрес транзакции.
Читайте нас там, где удобно:
Telegram, Viber, Facebook, Instagram, Golos, VK и Twitte
