Вирус, который подменяет кошелек в буфере обмена —
Вчера столкнулся с пренеприятнейшим явлением. Копируя адрес своего биткоин кошелька в буфер обмена и вставляя его потом на одном из кранов, я обнаружил, что адрес то совсем не тот. И как я не пытался скопировать по новой адрес — вставлялся уже совершенно другой.
Погуглив я нашел немного информации. Оказывается это вирус Trojan.Coinbitclip.
Действует он следующим образом — как только в буфере обмена появляется нечто похожее на адрес биткоин кошелька — то вирус подменяет его на свой адрес. Таким образом когда вы захотите перевести кому-то ваши биткоины и вот так вот не глядя скопируете, а потом вставите адрес биткоин кошелька — вы переведете ваши средства злоумышленикам.
Данный вирус легко обходит системы защиты, так как не размещает свои файлы в папке windows/system32. А так же содержит базу из более чем 10 000 различных адресов. Жертвами этого вируса как правило становятся пользователи Windows 7 и более ранние версии. У меня например под раздачу попался компьютер на Windows XP 64 bit. Отыскать на эту систему работающий антивирус у меня так и не получилось. Я перепробовал около 5-ти антивирусов и ни один не захотел останавливаться.
Самые ранние упоминания об этом вирусе я нашел от 7-го ноября 2014 года. Так, что если у вас стоит современный антивирус с постоянным обновлением — то уверен, что вы вряд ли пострадаете. Но все же обращайте внимание, когда вставляете адрес биткоин кошелька и собираетесь сделать оплату.
Данный вирус распространяется через всякого рода аддоны к играм и взломщики. Любители халявного софта и читеры — это первая категория лиц, которые скорее всего пострадают от этого вируса.
Мне так и не удалось вычистить этот вирус из системы. Поэтому нужно или переустанавливать систему или же подключить жесткий диск к другому компьютеру и запустить проверку антивирусом.
О результатах этого процесса я еще отпишусь.
Вирус ComboJack меняет адреса кошельков в буфере обмена
В сети обнаружен новый вирус, который выявляет скопированные в буфер обмена адреса кошельков и меняет их на адреса мошенников. Троян действует очень просто и в то же время очень эффективно, зарабатывая на невнимательности пользователей.
Обнаружили этого разностороннего червя сотрудники Palo Alto Networks – лидера среди компаний по сетевой безопасности. Изначально специалисты следили на масштабной фишинговой кампанией, которая была направлена в основном на японцев и американцев.
Позже специалисты по безопасности познакомились с трояном, который они назвали ComboJack – за его возможность похищать большое количество разных цифровых валют.
Распространяется ComboJack по старинке – через электронную почту, в письме с вложением в формате PDF. В письмо говорится о том, что некто нашел паспорт и просит адресата проверить на фото – не знает ли он владельца паспорта. Удочка на удивление простая и, как оказалось отлично работает. Подобная атака была выявлена в прошлом году, она распространяла трояна Dridex и вируса-вымогателя Locky.
Одновременно с тем, как потенциальная жертва загружает и открывает файл PDF, открывается RTF-файл, содержащий встроенный объект HTA. Интегрированный в него эксплойт CVE-2017-8759 позволяет хакерам интегрировать вредоносный код и инициировать PowerShell команды для скачивания и внедрения ComboJack. После установки на компьютер, троян использует инструмент attrib.exe, который позволяет спрятать программу от пользователя, и запускать процессы автономно с высокими привилегиями.
Далее червь каждые полсекунды сканирует буфер обмена с целью выявления в нем адреса кошелька. Логика хакеров проста – электронные кошельки состоят из сложных комбинаций букв и цифр, поэтому абсолютное большинство пользователей копирует их, чтобы не ошибиться при наборе. В этот момент червь распознает адрес кошелька и подменяет его на адрес мошенника.
Расчет идет на то, что никто не проверяет данные кошелька, так как все на сто процентов доверяют системе. ComboJack способен выявлять адреса Bitcoin, Litecoin, Ethereum и Monero, а также адреса цифровых платежных систем, таких как Qiwi, Yandex Money и WebMoney.
Ранее специалисты по безопасности уже обнаруживали подобные вирусы, например, Evrial или CryptoShuffler, однако все они были направлены на конкретную криптовалюту, чаще всего это биткоин. ComboJack в этом смысле оставил своих собратьев далеко позади.
Как следует из отчета Palo Alto Networks, ComboJack использует уязвимость в Windows, которая была устранена Microsoft еще в сентябре прошлого года. Отсюда – несколько правил, которые смогут уберечь вас от действий трояна:
- Регулярно обновляйте ваше ПО
- Пользуйтесь официальными антивирусами и регулярно обновляйте их
- Не открывайте электронные письма с незнакомых адресов, особенно, если они не именные
- Не открывайте вложения в письмах даже со знакомых адресов, пока не будете уверены в их надежности
- Не скачивайте неизвестные приложения на непроверенных сайтах
- Дважды проверяйте скопированные адреса, которые вы используете для отправки денежных средств
Берегите свою технику и свои деньги! Все о безопасности в сети – в нашем Телеграм-канале!
Комментарии:
CryptoShuffler: троян, тихо укравший биткойнов на 140 000 тысяч долларов
Представьте, в один прекрасный день вы решаете заплатить биткойнами, скажем, за пиццу. Копируете адрес кошелька с сайта пиццерии, вводите нужную сумму — и нажимаете кнопку «Отправить». И вот перевод ушел, но пицца все никак не приезжает. Владельцы пиццерии говорят, что перевод им не приходил. Что же случилось? Нет, дело не в том, что пиццерия вас кинула — во всем виноват троянец CryptoShuffler.
В отличие от какого-нибудь шифровальщика-вымогателя этот троян обходится без спецэффектов — он вообще изо всех сил старается не привлекать внимания. Троян тихонько сидит в памяти и наблюдает за всем, что попадает в буфер обмена — ту штуку, через которую происходит копирование и вставка данных при Ctrl+C и Ctrl+V.
Как только CryptoShuffler замечает, что в буфер обмена попал адрес криптовалютного кошелька — а по характерным признакам вроде длины строки или символов в начале их довольно легко отличить от других данных — он аккуратно заменяет его на другой. В итоге криптовалютный перевод действительно уходит, и именно на ту сумму, которую вводил пользователь, — просто приходит он не владельцам пиццерии, а злоумышленникам, создавшим CryptoShuffler.
Изучив троян, эксперты из «Лаборатории Касперского» выяснили, что зловред охотится за Bitcoin, Ethereum, Zcash, Dash, Dogecoin (да, и такие тоже бывают) и другими криптовалютами. Успешнее всего оказались подмены Биткойн-кошельков — на момент публикации злоумышленники «заработали» чуть больше 23 биткойнов, или около $140 000 по нынешнему курсу. В принадлежащих создателям CryptoShuffler кошельках других криптовалют нашлись суммы от нескольких десятков до нескольких тысяч долларов.
Чтобы собрать такое количество денег, троянцу понадобилось чуть больше года — пик его активности пришелся на конец 2016 года, затем последовал спад, но в июне CryptoShuffler вновь пробудился.
Этот троянец — наглядный пример того, что зараженный компьютер или смартфон не обязательно будет тормозить и выводить сообщения с требованиями выкупа. Многие зловреды, наоборот, стараются не выделяться и работать как можно более скрытно: чем дольше их не найдут, тем больше денег они успеют заработать своим создателям.
Так что советуем всем тем, кто пользуется криптовалютами, не только не терять бдительность, но и установить надежную защиту. Наши продукты обнаруживают CryptoShuffler, определяют его как Trojan-Banker.Win32.CryptoShuffler.gen и, разумеется, блокируют его действия.
www.kaspersky.ru
Новый вредонос крадёт биткоины пользователей, подменяя адреса
Если до последнего времени были известны три основных «сравнительно честных» способа кражи биткоинов, то теперь на сцене появился новый, четвертый способ. Обнаруженный недавно вредонос способен совершить физическую кражу криптовалюты, подменяя используемые пользователями адреса.
Одним из главных способов отъёма биткоинов у пользователей была и остаётся кража приватных ключей от кошельков, также известны так называемые боты-паразиты, которые майнят биткоины при помощи похищенной вычислительной мощности компьютеров, и, наконец, немалое число пользователей пострадало от вирусов-вымогателей. Последние известны тем, что шифруют файлы или жесткие диски на зараженных компьютерах, требуя за восстановление доступа выкуп в биткоинах.
И вот совсем недавно был обнаружен новый вид вредоноса, который перехватывает содержимое буфера обмена, заменяя скопированные адреса кошельков. Новый вирус был идентифицирован специалистами Symantec 2 февраля и получил название
Как установили специалисты, вредонос содержит длинный список биткоин-адресов, и выбирая при замене наиболее похожий, что, учитывая длину и сложность сочетания букв и цифр в адресах, призвано усложнить его обнаружение.
Так, в исходном коде одного из образцов вируса, специалисты Symantec обнаружили 10 тысяч адресов. Каждый из них был готов заменить собой адрес получателя транзакции, в результате чего средства отправляются на кошельки злоумышленников.
Сама идея копирования содержимого буфера обмена если и не нова, то подмена вирусом адресов кошельков – действительно новое явление, и единственным утешением может служить то, что широкого распространения троян пока не получил.
Насколько известно, в настоящий момент Trojan.Coinbitclip поражает компьютеры с операционной системой Windows 7 или с более ранними версиям, попадая в машину с предоставялемыми третьей стороной инструментами для популярной игры Hearthstone.
В Symantec называют уровень угрозы «очень низким» и уже обновили свое программное обеспечение, включив в него способы обнаружения и удаления вредоноса. Вирусы, впрочем, имеют свойство мутировать и эволюционировать, поэтому не будет лишним еще раз напомнить о необходимости соблюдать элементарные правила сетевой безопасности.
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER
Подписаться на новости Forklog
forklog.com