Новый вредонос подменяет адреса платежных систем в буфере обмена

Олег Иванов 06 Марта 2018 - 16:53

Домашние пользователи

...

Исследователи в области безопасности обнаружили новую вредоносную программу, способную обнаруживать, когда пользователи копируют адрес криптовалютного кошелька в буфер обмена Windows, а затем подменять этот адрес адресом злоумышленника.

Зловред получил имя ComboJack, своими действиями он очень похож на таких вредоносов, как Evrial и CryptoShuffler. Разница заключается в том, что ComboJack поддерживает многие криптовалюты, не только биткоин.

По данным Palo Alto Networks, ComboJack фиксирует момент, когда пользователь копирует адрес кошелька в буфер обмена. Примечательно, что помимо таких валют, как Bitcoin, Litecoin, Ethereum и Monero, вредонос учитывает и адреса платежных систем Qiwi, Яндекс Деньги и WebMoney (как долларовые, так и рублевые платежи).

Специалисты Palo Alto предупреждают, что в настоящее время ComboJack активно распространяется злоумышленниками. Исследователям удалось обнаружить этого вредоноса в кампаниях, нацеленных на японских и американских пользователей.

Схема распространения довольно сложна, опирается на шаблоны вредоносной кампании банковского трояна Dridex, а также вымогателя Locky. Злоумышленники посылают жертвам электронные письма, в которых якобы находится скан утраченного паспорта. Письма содержат вложение в формате PDF.

Если пользователь загружает и открывает этот PDF-файл, запускается RTF-файл, содержащий встроенный объект HTA, который пытается использовать уязвимость DirectX CVE-2017-8579.

При успешной эксплуатации запускается ряд команд PowerShell, которые загружают и выполняют самораспаковывающийся исполняемый файл (SFX). Затем этот SFX загружает следующий SFX, защищенный паролем, и только он устанавливает ComboJack.

После этого ComboJack начинает сканирование буфера обмена Windows каждые полсекунды на наличие нового содержимого. Эксперты Palo Alto советуют пользователям внимательно проверять адреса, на которые они делают переводы.

Специалисты опубликовали таблицу, на которой отражены условия подмены адресов вредоносной программой, а также адреса кошельков злоумышленника:

Напомним, что в январе мы писали о вредоносе Evrial, который подменяет биткойн-адреса в буфере обмена Windows.

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Яков Шпунт 02 Февраля 2026 - 20:09

Соответствие законодательству РФ Общее

В московском метро начали проверять телефоны

В Московском метрополитене подтвердили, что сотрудники службы транспортной безопасности вправе требовать от пассажиров продемонстрировать работоспособность мобильного телефона. Как сообщили в пресс-службе столичной подземки, такие меры предусмотрены приказом Министерства транспорта России от 4 февраля 2025 года № 34 и при необходимости могут применяться дополнительно к уже действующим процедурам досмотра.

Об этом сообщило Агентство городских новостей «Москва». Поводом для обращения журналистов в пресс-службу метро стали сообщения в ряде телеграм-каналов о выборочных проверках телефонов у пассажиров.

«В рамках обеспечения требований безопасности, установленных приказом Министерства транспорта Российской Федерации, на объектах транспортного комплекса Москвы все пассажиры столичного метро проходят досмотр с использованием рамок металлодетекторов», — пояснили в пресс-службе Московского метрополитена.

Ранее аналогичные требования были введены и в метро Санкт-Петербурга. Это подтвердил вице-губернатор города Кирилл Поляков во время прямой линии. По его словам, мера продиктована соображениями безопасности, и он призвал пассажиров отнестись к ней с пониманием. При этом, как подчеркнул Поляков, для проверки достаточно лишь показать, что устройство включается, — снимать блокировку при этом не требуется.

Ранее петербургские СМИ сообщали, что сотрудники транспортной безопасности отказывали в провозе оборудования без автономного питания. В частности, речь шла о мониторах и настольных компьютерах.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »