Новий вірус краде електронні валюти за допомогою заміни даних у буфері обміну

Експерти з кібербезпеки компанії Palo Alto Networks виявили вірус під назвою ComboJack під час спостереження за фішинговою e-mail-кампанією, яка була спрямована на клієнтів із Японії та США.

Вірус краде Bitcoin, Ethereum, Monero та Litecoin. Але не лише криптовалюта – мета ComboJack. Він також призначений для шахрайських операцій з цифровими платіжними системами, до списку яких входять Яндекс.Гроші та WebMoney. Потенційній жертві пропонують відкрити прикріплений файл, після чого автоматично запускається вбудований RTF-файл з експлойтом CVE-2017-8759. Саме він розв'язує руки шахраям і надає можливість вводити код та запускати команди PowerShell, які використовуються для виконання сценарію ComboJack.

Програма виводить гроші, замінюючи адресу призначення криптотранзакції на адресу гаманця злочинця. Жертвами вірусу стають користувачі, які не перевіряють адресу призначення операцій перед тим, як їх затвердити. Більшість користувачів вважають за краще копіювати такий рядок у буфер обміну, щоб запобігти можливим помилкам», - пишуть у звіті фахівці Palo Alto Networks.

Вірус «живе» за рахунок уразливості, яку компанія Microsoft виправила на початку осені минулого року. Для того, щоб захистити себе, користувачам рекомендують перевстановлення системного ПЗ.

Той факт, що подібні схеми працюють досі, говорить про те, що користувачі все ще залишаються надто довірливими, ніж успішно користуються шахраями.

За матеріалами https://researchcenter.paloaltonetworks.com