Новое вредоносное ПО под названием ComboJack ворует Monero, Ethereum, Litecoin и Bitcoin у неосторожных пользователей. Кража цифровых монет осуществляется посредством подмены адреса назначения транзакции.

Жертвами вируса становятся люди, не проверяющие данные денежных переводов перед их окончательной отправкой. Примечательно, что ComboJack с успехом ворует средства и с обычных ЭПС, таких как Яндекс Деньги и Webmoney.

Новую угрозу для криптовалютных кошельков обнаружила компания Palo Alto Networks, специализирующаяся на кибербезопасности, во время наблюдения за фишинговой E-mail-программой, нацеленной на японских и американских интернет-пользователей. Использование мошенниками спама для популяризации вирусов лишний раз подтверждает, что они с легкостью крадут цифровые монеты у невнимательных и доверчивых людей.

В одинаковых спамовых письмах отсутствует именное обращение к пользователям, зато имеется утверждение, что «кто-то потерял удостоверение личности». Жертв просят взглянуть на отсканированный паспорт и проверить, не знают ли они владельца. Если доверчивый пользователь загружает прикрепленный документ с эксплойтом CVE-2017-8759, интернет-злоумышленники получают доступ к командам PowerShell и запускают вирус ComboJack.

Представители Palo Alto Networks утверждают, что вредоносное ПО распространяется такими же способами, которые использовались в 2017 для отправки вымогателей Locky и Dridex Trojan. Несмотря на прямолинейную тактику, методы оказались достаточно эффективными.

Как только вирус ComboJack инсталлируется на компьютер жертвы, он начинает использовать стандартный инструмент Windows attrib.exe для выполнения операций с высокими привилегиями и скрытия их от пользователя. Вредоносное ПО ежесекундно проверяет содержимое буфер обмена на хранение в нем адреса криптокошелька. Любое копирование подобных данных сразу же попадает в поле зрение вируса, после чего он производит их подмену на данные злоумышленника. Если человек при отправке не проверяет адрес кошелька получателя, криптовалюта попадает на счет мошенника.

«Злоумышленники прекрасно знают, что адрес криптокошелька состоит из большой и сложной комбинации символов, которую трудно запомнить, поэтому большинство людей с целью недопущения ошибки просто копирует эту информацию», - комментируют представители Palo Alto Networks.

У вируса ComboJack имеется ряд сходств с ранее обнаруженным CryptoShuffler, однако неизвестно, есть ли между ними связь. Специалисты по кибербезопасности также не в курсе, кто может стоять за созданием и распространением вредоносного ПО. Они только советуют всем интернет-пользователям регулярно обновлять операционную систему и не открывать электронные письма от неизвестных отправителей.

Подписаться на Telegram-канал Coinsider.