В сети обнаружен новый вирус, который выявляет скопированные в буфер обмена адреса кошельков и меняет их на адреса мошенников. Троян действует очень просто и в то же время очень эффективно, зарабатывая на невнимательности пользователей.

Обнаружили этого разностороннего червя сотрудники Palo Alto Networks – лидера среди компаний по сетевой безопасности. Изначально специалисты следили на масштабной фишинговой  кампанией, которая была направлена в основном на японцев и американцев.

Позже специалисты по безопасности познакомились с трояном, который они назвали ComboJack – за его возможность похищать большое количество разных цифровых валют.

Распространяется ComboJack по старинке – через электронную почту, в письме с вложением в формате PDF. В письмо говорится о том, что некто нашел паспорт и просит адресата проверить на фото – не знает ли он владельца паспорта. Удочка на удивление простая и, как оказалось отлично работает. Подобная атака была выявлена в прошлом году, она распространяла трояна Dridex и вируса-вымогателя Locky. 

Одновременно с тем, как потенциальная жертва загружает и открывает файл  PDF, открывается RTF-файл, содержащий встроенный объект HTA. Интегрированный в него эксплойт CVE-2017-8759 позволяет хакерам интегрировать вредоносный код и инициировать PowerShell команды для скачивания и внедрения ComboJack. После установки на компьютер, троян использует инструмент attrib.exe, который позволяет спрятать программу от пользователя, и запускать процессы автономно с высокими привилегиями.

Далее червь каждые полсекунды сканирует буфер обмена с целью выявления в нем адреса кошелька. Логика хакеров проста – электронные кошельки состоят из сложных комбинаций букв и цифр, поэтому абсолютное большинство пользователей копирует их, чтобы не ошибиться при наборе. В этот момент червь распознает адрес кошелька и подменяет его на адрес мошенника.

Расчет идет на то, что никто не проверяет данные кошелька, так как все на сто процентов доверяют системе. ComboJack способен выявлять адреса Bitcoin, Litecoin, Ethereum и Monero, а также адреса цифровых платежных систем, таких как Qiwi, Yandex Money и WebMoney.

Ранее специалисты по безопасности уже обнаруживали подобные вирусы, например, Evrial или CryptoShuffler, однако все они были направлены на конкретную криптовалюту, чаще всего это биткоин. ComboJack в этом смысле оставил своих собратьев далеко позади.

Как следует из отчета Palo Alto Networks, ComboJack  использует уязвимость в Windows, которая была устранена Microsoft  еще в сентябре прошлого года. Отсюда – несколько правил, которые смогут уберечь вас от действий трояна:

• Регулярно обновляйте ваше ПО
• Пользуйтесь официальными антивирусами и регулярно обновляйте их
• Не открывайте электронные письма с незнакомых адресов, особенно, если они не именные
• Не открывайте вложения в письмах даже со знакомых адресов, пока не будете уверены в их надежности
• Не скачивайте неизвестные приложения на непроверенных сайтах
• Дважды проверяйте скопированные адреса, которые вы используете для отправки денежных средств

Берегите свою технику и свои деньги! Все о безопасности в сети – в нашем Телеграм-канале!

Комментарии:

Добавить комментарий