Вредоносная программа ComboJack крадёт Bitcoin, Litecoin, Monero и Ethereum меняя адрес назначения транзакций на адрес кошелька мошенника, заменяя данные в буфере обмена.
Объектами мошеннических операций становятся пользователи, которые не проверяют адреса назначения транзакций перед их окончательным утверждением.
Интересен и тот факт, что данная программа предназначена и для некриптовалютных платежных систем, в том числе и WebMoney и Яндекс, Деньги.
Обнаружили эту программу исследователи по кибербезопасности, наблюдая за фишинговой e-mail-кампанией, направленной на японских и американских пользователей.
Для распространения вредоносных программ злоумышленники используют спам. Это говорит о том, что они с успехов воруют криптовалюту у беспечных и доверчивых пользователей.
В шаблонах спамовых писем нет обращения к потенциальным жертвам по имени, но есть утверждение о том, что «в моём офисе [кто-то] забыл паспорт», просьба открыть «отсканированный документ» и «проверить, не знаете ли вы владельца».
Жертва открывает прикрепленный файл. Как результат – запускается встроенный RTF-файл с эксплойтом CVE-2017-8759, который позволяет мошенникам вводить код и запускать команды PowerShell, что используются для загрузки и выполнения ComboJack.
В 2017 году похожие методы использовались для распространения вирусов-вымогателей Dridex Trojan и Locky. Несмотря на свою простоту, они оказались успешными.
После установки программы ComboJack используется встроенный инструмент Windows attrib.exe, который дает возможность скрываться от пользователя и выполнять процессы с высокими привилегиями.
С этого момента программа входит в рабочий цикл, при котором она анализирует содержимое буфера обмена через каждые пол секунды (так проверяется, не скопировал ли человек информацию с адресом кошелька криптовалют Bitcoin, Litecoin, Monero, Ethereum).
Если ComboJack обнаружит адрес кошелька, он заменит его на другой, который принадлежит мошенникам.
В отчете исследователей записано:
«Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки».
Программа ComboJack похожа на, обнаруженную ранее, форму вредоносного программного обеспечения CryptoShuffler, хотя нет прямых доказательств их взаимосвязи.
Эксперты считают, что одним из возможных способов защиты от вредоносной программы является обновление операционной системы.
Кроме того, лучше остерегаться неожиданных писем и странных вложений, особенно в том случае, если сообщение не адресовано вам напрямую.
Needed to send you the very little word to finally thank you so much the moment again regarding the splendid things you have shared on this site. This has been simply tremendously open-handed with you to present unreservedly what most people would’ve sold for an electronic book to help with making some money on their own, primarily seeing that you might well have tried it in the event you wanted. Those techniques in addition worked to become a great way to realize that someone else have the same passion similar to my very own to see somewhat more with reference to this problem. I know there are some more pleasurable situations up front for people who see your website.
I am commenting to let you know of the fine encounter my friend’s daughter found reading your site. She figured out many issues, not to mention what it’s like to have a wonderful giving mindset to have men and women quite simply have an understanding of selected hard to do subject areas. You really exceeded our expectations. Many thanks for giving the insightful, safe, explanatory and as well as easy thoughts on the topic to Jane.