![](https://bitnovosti.com/wp-content/uploads/2018/03/ComboJack-malware.png)
Создатели вредоноса ComboJack рассчитывают на, что пользователи не будут перепроверять номера кошельков при переводе средств. Новый тип вредоносного ПО способен отслеживать копирование криптоадресов в буфер обмена Windows и похищать биткойны, лайткойны, Monero и эфиры, путем подмены адреса получателя во время криптотранзакции.
Вирус получил название ComboJack, так как он пытается украсть несколько криптовалют сразу, а авторы вируса рассчитывают на то, что жертвы не будут проверять адрес назначения при совершении транзакций.
Несмотря на то, что такую малварь довольно легко обнаружить, хакеры добились неплохих результатов в процессе кражи криптовалюты у пользователей. Помимо того, авторы вредоносного кода нацелены также на некриптовалютные цифровые сервисы, включая WebMoney и Yandex Money.
Эксперты по кибербезопасности в Palo Alto Networks обнаружили вирус, в процессе наблюдения за фишинговой кампанией, распространяемой среди американских и японских пользователей. В фишинговой рассылке мошенники, не обращаясь к потенциальным жертвам по имени, заявляют об обнаружении потерянного паспорта и просят пользователя открыть документ, «скан паспорта», чтобы «проверить, не знают ли они владельца».
![](https://bitnovosti.com/wp-content/uploads/2018/03/combojack-passport.png)
Далее жертве предлагается открыть вложение для проверки документа. После согласия программа открывает вложенный RTF файл, оснащенный эксплойтом CVE-2017-8759, который позволяет хакерам интегрировать вредоносный код и инициировать PowerShell команды для скачивания и внедрения ComboJack.
Исследователи по кибербезопасности замечают, что мошеннические письма и техники распространения вредоносного кода схожи с кампаниями 2017 года по распространению трояна Dridex и вируса-вымогателя Locky. Несмотря на простые тактики, обе компании были очень успешны для мошенников.
При установке на устройство, ComboJack использует встроенный в Windows инструмент attrib.exe, который позволяет спрятать программу от пользователя, и запускать процессы автономно.
С этого момента, вирус проверяет данные буфера обмена каждые полсекунды, чтобы отследить момент, когда жертва скопирует адрес криптокошелька и инициирует транзакцию в биткойнах, лайткойнах, Monero или эфирах.
Когда адрес кошелька обнаружен, вирус заменяет его на другой, принадлежащий мошенникам, в расчете на то, что пользователь перешлет деньги на неправильный адрес, не сверив данные.
«Это тактика основана на том, что адрес кошелька чаще всего длинный и сложный, поэтому большинство пользователей, чтобы предотвратить ошибку выбирают копирование всей строки», – уточняют исследователи Palo Alto Networks Брэндон Левен и Джош Грунцвайг.
Эксперты Palo Alto Networks отмечают, что им пока неизвестно, кто стоит за распространением ComboJack.
Так как ComboJack использует уязвимость, которая была ликвидирована Microsoft в сентябре 2017 года, одним из способов защиты от вируса является обновление операционной системы. Также пользователи могут защититься от вируса, проявляя осторожность в отношении подозрительных писем и вложений, особенно, если сообщения не сопровождаются прямым обращением.