Новый вредонос подменяет адреса платежных систем в буфере обмена

Олег Иванов 06 Марта 2018 - 16:53

Домашние пользователи

...

Исследователи в области безопасности обнаружили новую вредоносную программу, способную обнаруживать, когда пользователи копируют адрес криптовалютного кошелька в буфер обмена Windows, а затем подменять этот адрес адресом злоумышленника.

Зловред получил имя ComboJack, своими действиями он очень похож на таких вредоносов, как Evrial и CryptoShuffler. Разница заключается в том, что ComboJack поддерживает многие криптовалюты, не только биткоин.

По данным Palo Alto Networks, ComboJack фиксирует момент, когда пользователь копирует адрес кошелька в буфер обмена. Примечательно, что помимо таких валют, как Bitcoin, Litecoin, Ethereum и Monero, вредонос учитывает и адреса платежных систем Qiwi, Яндекс Деньги и WebMoney (как долларовые, так и рублевые платежи).

Специалисты Palo Alto предупреждают, что в настоящее время ComboJack активно распространяется злоумышленниками. Исследователям удалось обнаружить этого вредоноса в кампаниях, нацеленных на японских и американских пользователей.

Схема распространения довольно сложна, опирается на шаблоны вредоносной кампании банковского трояна Dridex, а также вымогателя Locky. Злоумышленники посылают жертвам электронные письма, в которых якобы находится скан утраченного паспорта. Письма содержат вложение в формате PDF.

Если пользователь загружает и открывает этот PDF-файл, запускается RTF-файл, содержащий встроенный объект HTA, который пытается использовать уязвимость DirectX CVE-2017-8579.

При успешной эксплуатации запускается ряд команд PowerShell, которые загружают и выполняют самораспаковывающийся исполняемый файл (SFX). Затем этот SFX загружает следующий SFX, защищенный паролем, и только он устанавливает ComboJack.

После этого ComboJack начинает сканирование буфера обмена Windows каждые полсекунды на наличие нового содержимого. Эксперты Palo Alto советуют пользователям внимательно проверять адреса, на которые они делают переводы.

Специалисты опубликовали таблицу, на которой отражены условия подмены адресов вредоносной программой, а также адреса кошельков злоумышленника:

Напомним, что в январе мы писали о вредоносе Evrial, который подменяет биткойн-адреса в буфере обмена Windows.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Апреля 2026 - 13:51

Соответствие законодательству РФ Домашние пользователи Системы контентной веб-фильтрации

Telegram приписал чужую победу: кто на самом деле починил прокси

Давид Осипов из B2B обвинил Telegram в том, что команда мессенджера присвоила себе заслуги за обход блокировок прокси в России. По его версии, критические исправления для FakeTLS первыми нашли и подготовили не разработчики Telegram, а энтузиасты из сообщества Telemt.

Осипов пишет, что официальная команда мессенджера якобы месяцами не трогала проблемный код, хотя разговоры о возможных ограничениях Telegram-прокси в России шли как минимум с начала 2026 года.

Когда в апреле у многих пользователей начали отваливаться соединения, а встроенная маскировка FakeTLS перестала работать как надо, Telegram, по его словам, не предложил быстрого собственного решения, а паузу заполнили участники профильного сообщества.

По версии Осипова, именно энтузиасты занялись разбором TLS-хендшейка, сравнили поведение Telegram с трафиком обычного браузера, нашли подозрительные сигнатуры и подготовили конкретные исправления. После этого изменения оформили в предложения для изменения кода Telegram Desktop, а уже затем часть этих правок попала в официальный клиент.

То, что Telegram Desktop действительно получил свежие обновления в начале апреля, видно по странице релизов на GitHub: там указаны версии 6.7.2 и 6.7.3, выпущенные 3 и 4 апреля. В README проекта Telemt при этом отдельно сказано, что исправленный TLS ClientHello уже доступен в Telegram Desktop начиная с версии 6.7.2, а для Android официальные релизы ещё находятся в процессе внедрения.

Главная претензия Осипова: Telegram в публичной коммуникации выглядит победителем, хотя реальную инженерную работу, по его мнению, сначала проделало сообщество. Особенно его задела формулировка из поста Павла Дурова о том, что Telegram «со своей стороны» продолжит адаптироваться и делать трафик мессенджера более трудным для обнаружения и блокировки. Дуров действительно написал, что команда будет и дальше усложнять детектирование и блокировку трафика Telegram на фоне ограничений в России.

Осипов при этом настаивает: нынешние исправления — это лишь хотфикс, а не полноценное решение. По его словам, даже после патча в реализации FakeTLS остаются другие потенциально заметные сигнатуры, а значит, проблема не сводится к паре строк кода. Иначе говоря, история, по его версии, ещё далеко не закончилась.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!