Троян ClipBanker маскируют под инструмент для настройки прокси на GitHub

Эксперты «Лаборатории Касперского» обнаружили новую вредоносную кампанию: на GitHub под видом специализированного инструмента распространяется троян ClipBanker, который умеет подменять адреса криптокошельков в буфере обмена и таким образом красть криптовалюту.

По данным исследователей, зловред маскируется под Proxifier — программу, которую нередко используют разработчики и системные администраторы для настройки работы приложений через прокси в защищённых средах.

Схема выглядит особенно опасной ещё и потому, что ссылка на заражённый репозиторий оказалась в топе выдачи популярных поисковиков. А значит, пользователь может наткнуться на неё почти так же легко, как на обычный легитимный софт.

Сама атака идёт через довольно длинную цепочку заражения. В репозитории размещён архив с исполняемым файлом и текстовым документом. На первый взгляд всё выглядит правдоподобно: в текстовом файле лежат ключи активации, а исполняемый файл якобы запускает установку нужной программы.

Но на деле этот исполняемый файл оказывается вредоносной обёрткой над настоящим инсталлятором Proxifier. В итоге пользователь действительно видит привычное окно установки безобидного софта и может даже не заподозрить подвоха. Параллельно в систему незаметно проникает ClipBanker.

Главная задача этого трояна — следить за буфером обмена. Если пользователь копирует адрес криптокошелька, зловред может незаметно заменить его на адрес, подконтрольный злоумышленникам. В результате деньги уходят совсем не туда, куда планировал отправитель.

В «Лаборатории Касперского» отмечают, что среди потенциальных жертв есть и пользователи из России. А сама история лишний раз показывает, что даже GitHub, которому в ИТ-среде обычно доверяют, не гарантирует безопасность автоматически.