В сети обнаружен новый вирус, который выявляет скопированные в буфер обмена адреса кошельков и меняет их на адреса мошенников. Троян действует очень просто и в то же время очень эффективно, зарабатывая на невнимательности пользователей.
Обнаружили этого разностороннего червя сотрудники Palo Alto Networks – лидера среди компаний по сетевой безопасности. Изначально специалисты следили на масштабной фишинговой кампанией, которая была направлена в основном на японцев и американцев.
Позже специалисты по безопасности познакомились с трояном, который они назвали ComboJack – за его возможность похищать большое количество разных цифровых валют.
Распространяется ComboJack по старинке – через электронную почту, в письме с вложением в формате PDF. В письмо говорится о том, что некто нашел паспорт и просит адресата проверить на фото – не знает ли он владельца паспорта. Удочка на удивление простая и, как оказалось отлично работает. Подобная атака была выявлена в прошлом году, она распространяла трояна Dridex и вируса-вымогателя Locky.
Одновременно с тем, как потенциальная жертва загружает и открывает файл PDF, открывается RTF-файл, содержащий встроенный объект HTA. Интегрированный в него эксплойт CVE-2017-8759 позволяет хакерам интегрировать вредоносный код и инициировать PowerShell команды для скачивания и внедрения ComboJack. После установки на компьютер, троян использует инструмент attrib.exe, который позволяет спрятать программу от пользователя, и запускать процессы автономно с высокими привилегиями.
Далее червь каждые полсекунды сканирует буфер обмена с целью выявления в нем адреса кошелька. Логика хакеров проста – электронные кошельки состоят из сложных комбинаций букв и цифр, поэтому абсолютное большинство пользователей копирует их, чтобы не ошибиться при наборе. В этот момент червь распознает адрес кошелька и подменяет его на адрес мошенника.
Расчет идет на то, что никто не проверяет данные кошелька, так как все на сто процентов доверяют системе. ComboJack способен выявлять адреса Bitcoin, Litecoin, Ethereum и Monero, а также адреса цифровых платежных систем, таких как Qiwi, Yandex Money и WebMoney.
Ранее специалисты по безопасности уже обнаруживали подобные вирусы, например, Evrial или CryptoShuffler, однако все они были направлены на конкретную криптовалюту, чаще всего это биткоин. ComboJack в этом смысле оставил своих собратьев далеко позади.
Как следует из отчета Palo Alto Networks, ComboJack использует уязвимость в Windows, которая была устранена Microsoft еще в сентябре прошлого года. Отсюда – несколько правил, которые смогут уберечь вас от действий трояна:
- Регулярно обновляйте ваше ПО
- Пользуйтесь официальными антивирусами и регулярно обновляйте их
- Не открывайте электронные письма с незнакомых адресов, особенно, если они не именные
- Не открывайте вложения в письмах даже со знакомых адресов, пока не будете уверены в их надежности
- Не скачивайте неизвестные приложения на непроверенных сайтах
- Дважды проверяйте скопированные адреса, которые вы используете для отправки денежных средств
Берегите свою технику и свои деньги! Все о безопасности в сети – в нашем Телеграм-канале!
Комментарии: