Безопасность платежей: трояны, подменяющие адреса криптовалютных кошельков пользователей

Все новые и новые вирусы и трояны ставят под угрозу безопасность средств пользователей криптовалют.

Практически одновременно с появлением криптовалют появилось и вредоносное программное обеспечение (вирусы, трояны и т.д.), специально "заточенное" под работу именно с криптовалютами. Наиболее распространенным типом являются так называемые майнеры, которые используют мощности зараженного устройства для майнинга криптовалют в пользу своих авторов. О самом свежем из них "Digimine" мы уже писали в одной из наших предыдущих статей "Скрытый майнер криптовалют Digmine распространяется хакерами через Facebook Messenger".

Но, в сегодняшней статье мы расскажем о другом, менее заметном, но значительно более коварном типе троянов т.к. в отличие от трояна-майнера (который просто использует ресурсы Вашего устройства, создавая излишнюю нагрузку), может привести к потере Ваших личных средств. Такой троян отслеживает содержимое буфера обмена (clipboard) и, если замечает в нем строку, по структуре являющейся адресом Bitcoin, Litecoin, DASH или любой другой криптовалюты, подменяет его на свой собственный адрес. Большинство пользователей не замечают подмены и продолжают работу, совершая транзакцию на подмененный адрес. В итоге, средства получает не первоначальный адресат, а злоумышленник.

Впервые данный тип троянов был обнаружен в августе 2014 польским центром CERT. С каждым годом эти трояны становились все совершеннее, не просто подменяя адрес на свой, а еще и подбирая адрес (или, в некоторых случая даже генерируя новый), похожий на адрес пользователя, например такой, в котором первые и последние три символа совпадают с адресом пользователя. При беглом просмотре такой адрес не вызовет никаких подозрений. Так, в февраля 2016 компанией Symantec был обнаружен Троянский конь Trojan.Coinbitclip, который распространялся с базой в 10,000 Bitcoin адресов, что позволяло быстро подобрать адрес, похожий на адрес жертвы.

В ноябре 2017 «Лабораторией Касперского» был обнаружен новый троян - CryptoShuffler, подменяющий адреса Bitcoin, Ethereum, Zcash, Moneroo, Dash и других криптовалют. При этом, на момент обнаружения, CryptoShuffler существовал уже около года и успел собрать по меньшей мере 23 BTC.

Данная разновидность вредоносного ПО крайне тяжело обнаруживается т.к. не создает дополнительной нагрузки на операционную систему пользователя, не открывает дополнительных сетевых соединений и не производит никаких других подозрительных операций. Именно поэтому производители антивирусного ПО не слишком оперативно включают сигнатуры этих троянов в свои антивирусные базы. На текущий момент надежного решения для защиты и автоматического обнаружения троянов, подменяющих адреса криптокошельков в буфере обмена, не существует.

Именно поэтому советуем всем пользователям криптовалют не только полагаться на антивирусное ПО, но также внимательно проверять реквизиты платежа перед его отправкой и, по возможности, выбирать адреса из адресной книги (большинство кошельков обеспечивают такую функцию).