Новое вредоносное ПО ворует криптовалюты, меняя данные в буфере обмена

Новая вредоносная программа ComboJack крадёт биткоины, лайткоины, Monero и эфириум путём замены адреса назначения криптовалютной транзакции на адрес кошелька злоумышленника.

Его мишенями становятся люди, которые не проверяют адреса  назначения транзакций перед их окончательным утверждением. Интересно, что ComboJack предназначена в том числе и для «некриптовалютных» цифровых платёжных систем, включая WebMoney и Яндекс.Деньги.

Исследователи по проблемам кибербезопасности из Palo Alto Networks обнаружили эту вредоносную программу при наблюдении за фишинговой e-mail-кампанией, направленной на американских и японских пользователей. То, что злоумышленники до сих пор усиленно используют спам для распространения вредоносных программ, подтверждает, что они успешно воруют криптовалюты у безалаберных и доверчивых пользователей.

В шаблонах спамовых писем нет обращения к потенциальным жертвам по имени, но есть утверждение о том, что «в моём офисе [кто-то] забыл паспорт», просьба открыть «отсканированный документ» и «проверить, не знаете ли вы владельца».

Жертву подстрекают на открытие прикреплённого файла. В результате этого запускается встроенный RTF-файл с эксплойтом CVE-2017-8759, который позволяет злоумышленникам вводить код и запускать команды PowerShell, используемые для загрузки и выполнения ComboJack.

Исследователи отмечают, что методы распространения вредоносных писем и программ аналогичны тем, которые использовались в ходе кампаний по распространению вирусов-вымогателей Dridex Trojan и Locky в 2017 году. Они оказались довольно успешными, несмотря на простую тактику.

После установки на компьютере ComboJack использует встроенный инструмент Windows attrib.exe, который позволяет ему скрываться от пользователя и выполнять процессы с высокими привилегиями.

С этого момента ComboJack входит в рабочий цикл, при котором он анализирует содержимое буфера обмена через каждые полсекунды, чтобы проверить, не скопировал ли человек информацию о кошельке и криптовалютах (биткоине, лайткоине, Monero и эфириуме).

Если ComboJack обнаружит адрес кошелька, он заменит его на другой, который принадлежит злоумышленникам. Положение усугубляется тем, что у многих пользователей нет привычки проверять адрес, куда должны быть отправлены средства.

Исследователи из Palo Alto Networks пишут в отчете:

Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки.

У ComboJack есть сходства с ранее обнаруженной формой вредоносного программного обеспечения CryptoShuffler, хотя нет прямых доказательств того, что они так или иначе связаны. В Palo Alto Networks также говорят, что пока нет каких-либо предположений о том, кто стоит за ComboJack.

Поскольку ComboJack полагается на использование уязвимости, которая была исправлена ​​компанией Microsoft в сентябре 2017 года, один из возможных способов защиты от вредоносной программы — обновление операционной системы.

Следует также остерегаться неожиданных писем и странных вложений, особенно если такое сообщение не адресовано вам напрямую.