Вредоносная программа ComboJack крадёт Bitcoin, Litecoin, Monero и Ethereum меняя адрес назначения транзакций на адрес кошелька мошенника, заменяя данные в буфере обмена.

Объектами мошеннических операций становятся пользователи, которые не проверяют адреса назначения транзакций перед их окончательным утверждением.

Интересен и тот факт, что данная программа предназначена и для некриптовалютных платежных систем, в том числе и WebMoney и Яндекс, Деньги.
Обнаружили эту программу исследователи по кибербезопасности, наблюдая за фишинговой e-mail-кампанией, направленной на японских и американских пользователей.

Для распространения вредоносных программ злоумышленники используют спам. Это говорит о том, что они с успехов воруют криптовалюту у беспечных и доверчивых пользователей.

В шаблонах спамовых писем нет обращения к потенциальным жертвам по имени, но есть утверждение о том, что «в моём офисе [кто-то] забыл паспорт», просьба открыть «отсканированный документ» и «проверить, не знаете ли вы владельца».

Жертва открывает прикрепленный файл. Как результат – запускается встроенный RTF-файл с эксплойтом CVE-2017-8759, который позволяет мошенникам вводить код и запускать команды PowerShell, что используются для загрузки и выполнения ComboJack.
В 2017 году похожие методы использовались для распространения вирусов-вымогателей Dridex Trojan и Locky. Несмотря на свою простоту, они оказались успешными.

После установки программы ComboJack используется встроенный инструмент Windows attrib.exe, который дает возможность скрываться от пользователя и выполнять процессы с высокими привилегиями.

С этого момента программа входит в рабочий цикл, при котором она анализирует содержимое буфера обмена через каждые пол секунды (так проверяется, не скопировал ли человек информацию с адресом кошелька криптовалют Bitcoin, Litecoin, Monero, Ethereum).
Если ComboJack обнаружит адрес кошелька, он заменит его на другой, который принадлежит мошенникам.

В отчете исследователей записано:

«Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки».

Программа ComboJack похожа на, обнаруженную ранее, форму вредоносного программного обеспечения CryptoShuffler, хотя нет прямых доказательств их взаимосвязи.

Эксперты считают, что одним из возможных способов защиты от вредоносной программы является обновление операционной системы.

Кроме того, лучше остерегаться неожиданных писем и странных вложений, особенно в том случае, если сообщение не адресовано вам напрямую.