Нова шкідлива програма ComboJack краде біткоіни, лайткоіни, Monero і ефіріум шляхом заміни адреси призначення кріптовалютной транзакції на адресу гаманця зловмисника.
Його мішенями стають люди, які не перевіряють адреси призначення транзакцій перед їх остаточним затвердженням. Цікаво, що ComboJack призначена в тому числі і для «некріптовалютних» цифрових платіжних систем, включаючи WebMoney і Яндекс.Деньги.
Дослідники з проблем кібербезпеки з Palo Alto Networks виявили цю шкідливу програму при спостереженні за фішинговою e-mail-кампанією, спрямованою на американських і японських користувачів. Те, що зловмисники досі посилено використовують спам для поширення шкідливих програм, підтверджує, що вони успішно крадуть криптовалюта у безладних і довірливих користувачів.
У шаблонах спамових листів немає звернення до потенційних жертв на ім'я, але є твердження про те, що «в моєму офісі [хтось] забув паспорт», прохання відкрити «відсканований документ» і «перевірити, чи не знаєте ви власника».
![У шаблонах спамових листів немає звернення до потенційних жертв на ім'я, але є твердження про те, що «в моєму офісі [хтось] забув паспорт», прохання відкрити «відсканований документ» і «перевірити, чи не знаєте ви власника»](/wp-content/uploads/2020/02/uk-nove-skidlive-po-krade-kriptovaluta-zminuuci-dani-v-buferi-obminu-1.jpg)
Жертву підбурюють на відкриття прикріпленого файлу. В результаті цього запускається вбудований RTF-файл з експлойтів CVE-2017-8759 , Який дозволяє зловмисникам вводити код і запускати команди PowerShell, які використовуються для завантаження і виконання ComboJack.
Дослідники відзначають, що методи поширення шкідливих листів і програм аналогічні тим, які використовувалися в ході кампаній по поширенню вірусів-вимагачів Dridex Trojan і Locky в 2017 році. Вони виявилися досить успішними, незважаючи на просту тактику.
Після установки на комп'ютері ComboJack використовує вбудований інструмент Windows attrib.exe, який дозволяє йому переховуватися від користувача і виконувати процеси з високими привілеями.
З цього моменту ComboJack входить в робочий цикл, при якому він аналізує вміст буфера обміну через кожні півсекунди, щоб перевірити, чи не скопіював людина інформацію про гаманець і криптовалюта (біткоіни, лайткоіне, Monero і ефіріуме).
Якщо ComboJack виявить адреса гаманця, він замінить його на інший, який належить зловмисникам. Становище ускладнюється тим, що у багатьох користувачів немає звички перевіряти адресу , Куди повинні бути відправлені кошти.
Дослідники з Palo Alto Networks пишуть в звіті:
Тактика заснована на тому, що адреси гаманців, як правило, довгі і складні для запам'ятовування. Більшість користувачів вважають за краще копіювати такий рядок в буфер обміну, щоб запобігти можливим помилкам.
У ComboJack є подібності з раніше виявленої формою шкідливого програмного забезпечення CryptoShuffler, хоча немає прямих доказів того, що вони так чи інакше пов'язані. В Palo Alto Networks також говорять, що поки немає будь-яких припущень про те, хто стоїть за ComboJack.
Оскільки ComboJack покладається на використання уразливості, яка була виправлена компанією Microsoft у вересні 2017 року, один з можливих способів захисту від шкідливої програми - оновлення операційної системи.
Слід також остерігатися несподіваних листів і дивних вкладень, особливо якщо таке повідомлення адресовано вам безпосередньо.
