Нова шкідлива програма ComboJack краде Bitcoin, Litecoin, Monero і Ethereum шляхом заміни адреси призначення криптовалютной транзакції на адресу гаманця зловмисника, змінюючи дані в буфері обміну.
Його мішенями стають люди, які не перевіряють адреси призначення транзакцій перед їх остаточним затвердженням. Цікаво, що ComboJack призначена у тому числі і для «некриптовалютных» цифрових платіжних систем, включаючи WebMoney і Яндекс.Гроші.
Дослідники з проблем кібербезпеки з Palo Alto Networks виявили цю шкідливу програму при спостереженні за фішингової e-mail-кампанією, спрямованою на американських і японських користувачів. Те, що зловмисники досі посилено використовують спам для розповсюдження шкідливих програм, підтверджує, що вони успішно крадуть кріптовалюти у безладних і довірливих користувачів.
У шаблонах спамових листів немає звернення до потенційних жертв по імені, але є твердження про те, що «в моєму офісі [хтось] забув паспорт», прохання відкрити «відсканований документ» і «перевірити, не чи знаєте ви власника».
Жертву підбурюють на відкриття прикріпленого файлу. В результаті цього запускається вбудований RTF-файл з експлойтів CVE-2017-8759, який дозволяє зловмисникам вводити код і запускати PowerShell команди, використовувані для завантаження і виконання ComboJack.
Дослідники відзначають, що методи розповсюдження шкідливих листів і програм аналогічні тим, які використовувалися в ході кампаній по поширенню вірусів-вимагачів Dridex Trojan та Locky в 2017 році. Вони виявилися досить успішними, незважаючи на просту тактику.
Після інсталяції на комп’ютері ComboJack використовує вбудований інструмент Windows attrib.exe, який дозволяє йому переховуватися від користувача і виконувати процеси з високими привілеями.
З цього моменту ComboJack входить у робочий цикл, при якому він аналізує вміст буфера обміну через кожні півсекунди, щоб перевірити, чи не скопіював людина інформацію з адресою гаманця криптовалют:
- Bitcoin,
- Litecoin,
- Monero,
- Ethereum.
Якщо ComboJack виявить адреса гаманця, він замінить його на інший, який належить зловмисникам. Становище ускладнюється тим, що у багатьох користувачів немає звички перевіряти адресу, куди повинні бути відправлені кошти.
Дослідники з Palo Alto Networks пишуть у звіті:
Тактика заснована на тому, що адреси гаманців, як правило, довгі і складні для запам’ятовування. Більшість користувачів воліють копіювати таку рядок у буфер обміну, щоб запобігти можливі помилки.
У ComboJack є схожість з раніше виявленої формою шкідливого програмного забезпечення CryptoShuffler, хоча немає прямих доказів того, що вони так чи інакше пов’язані. У Palo Alto Networks також кажуть, що поки немає яких-небудь припущень про те, хто стоїть за ComboJack.
Оскільки ComboJack покладається на використання уразливості, яка була виправлена компанією Microsoft у вересні 2017 року, один з можливих способів захисту від шкідливої програми — оновлення операційної системи.
Слід також остерігатися несподіваних листів і дивних вкладень, особливо якщо таке повідомлення не адресовано вам напряму.
Be First to Comment