Создатели вредоноса ComboJack рассчитывают на, что пользователи не будут перепроверять номера кошельков при переводе средств. Новый тип вредоносного ПО способен отслеживать копирование криптоадресов в буфер обмена Windows и похищать биткойны, лайткойны, Monero и эфиры, путем подмены адреса получателя во время криптотранзакции.
Вирус получил название ComboJack, так как он пытается украсть несколько криптовалют сразу, а авторы вируса рассчитывают на то, что жертвы не будут проверять адрес назначения при совершении транзакций.
Несмотря на то, что такую малварь довольно легко обнаружить, хакеры добились неплохих результатов в процессе кражи криптовалюты у пользователей. Помимо того, авторы вредоносного кода нацелены также на некриптовалютные цифровые сервисы, включая WebMoney и Yandex Money.
Эксперты по кибербезопасности в Palo Alto Networks обнаружили вирус, в процессе наблюдения за фишинговой кампанией, распространяемой среди американских и японских пользователей. В фишинговой рассылке мошенники, не обращаясь к потенциальным жертвам по имени, заявляют об обнаружении потерянного паспорта и просят пользователя открыть документ, «скан паспорта», чтобы «проверить, не знают ли они владельца».
Далее жертве предлагается открыть вложение для проверки документа. После согласия программа открывает вложенный RTF файл, оснащенный эксплойтом CVE-2017-8759, который позволяет хакерам интегрировать вредоносный код и инициировать PowerShell команды для скачивания и внедрения ComboJack.
Исследователи по кибербезопасности замечают, что мошеннические письма и техники распространения вредоносного кода схожи с кампаниями 2017 года по распространению трояна Dridex и вируса-вымогателя Locky. Несмотря на простые тактики, обе компании были очень успешны для мошенников.
При установке на устройство, ComboJack использует встроенный в Windows инструмент attrib.exe, который позволяет спрятать программу от пользователя, и запускать процессы автономно.
С этого момента, вирус проверяет данные буфера обмена каждые полсекунды, чтобы отследить момент, когда жертва скопирует адрес криптокошелька и инициирует транзакцию в биткойнах, лайткойнах, Monero или эфирах.
Когда адрес кошелька обнаружен, вирус заменяет его на другой, принадлежащий мошенникам, в расчете на то, что пользователь перешлет деньги на неправильный адрес, не сверив данные.
«Это тактика основана на том, что адрес кошелька чаще всего длинный и сложный, поэтому большинство пользователей, чтобы предотвратить ошибку выбирают копирование всей строки», – уточняют исследователи Palo Alto Networks Брэндон Левен и Джош Грунцвайг.
Эксперты Palo Alto Networks отмечают, что им пока неизвестно, кто стоит за распространением ComboJack.
Так как ComboJack использует уязвимость, которая была ликвидирована Microsoft в сентябре 2017 года, одним из способов защиты от вируса является обновление операционной системы. Также пользователи могут защититься от вируса, проявляя осторожность в отношении подозрительных писем и вложений, особенно, если сообщения не сопровождаются прямым обращением.