Новый вредонос подменяет адреса платежных систем в буфере обмена

Новый вредонос подменяет адреса платежных систем в буфере обмена

Исследователи в области безопасности обнаружили новую вредоносную программу, способную обнаруживать, когда пользователи копируют адрес криптовалютного кошелька в буфер обмена Windows, а затем подменять этот адрес адресом злоумышленника.

Зловред получил имя ComboJack, своими действиями он очень похож на таких вредоносов, как Evrial и CryptoShuffler. Разница заключается в том, что ComboJack поддерживает многие криптовалюты, не только биткоин.

По данным Palo Alto Networks, ComboJack фиксирует момент, когда пользователь копирует адрес кошелька в буфер обмена. Примечательно, что помимо таких валют, как Bitcoin, Litecoin, Ethereum и Monero, вредонос учитывает и адреса платежных систем Qiwi, Яндекс Деньги и WebMoney (как долларовые, так и рублевые платежи).

Специалисты Palo Alto предупреждают, что в настоящее время ComboJack активно распространяется злоумышленниками. Исследователям удалось обнаружить этого вредоноса в кампаниях, нацеленных на японских и американских пользователей.

Схема распространения довольно сложна, опирается на шаблоны вредоносной кампании банковского трояна Dridex, а также вымогателя Locky. Злоумышленники посылают жертвам электронные письма, в которых якобы находится скан утраченного паспорта. Письма содержат вложение в формате PDF.

Если пользователь загружает и открывает этот PDF-файл, запускается RTF-файл, содержащий встроенный объект HTA, который пытается использовать уязвимость DirectX CVE-2017-8579.

При успешной эксплуатации запускается ряд команд PowerShell, которые загружают и выполняют самораспаковывающийся исполняемый файл (SFX). Затем этот SFX загружает следующий SFX, защищенный паролем, и только он устанавливает ComboJack.

После этого ComboJack начинает сканирование буфера обмена Windows каждые полсекунды на наличие нового содержимого. Эксперты Palo Alto советуют пользователям внимательно проверять адреса, на которые они делают переводы.

Специалисты опубликовали таблицу, на которой отражены условия подмены адресов вредоносной программой, а также адреса кошельков злоумышленника:

Напомним, что в январе мы писали о вредоносе Evrial, который подменяет биткойн-адреса в буфере обмена Windows.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Исходный код бэкдора Carbanak в течение двух лет лежал на VirusTotal

Исходный код одной из самых опасных вредоносных программ в мире на протяжении двух лет был доступен на VirusTotal. Практически никто не обратил внимания на то, что бэкдор Carbanak загрузили на самый популярный сервис анализа подозрительных файлов.

Первыми внимание на этот факт обратили исследователи американской компании FireEye. В течение этих двух лет они наблюдали и анализировали ситуацию, а теперь решили предоставить результаты своего анализа общественности.

Напомним, что сложный бэкдор Carbanak использовался в атаках одноименной киберпреступной группы, известной также под другими именами: FIN7, Anunak, Cobalt Group.

Именно этой группировке удалось похитить у банков более миллиарда долларов. Carbanak использовался в качестве основного средства проникновения в сети кредитных организаций.

Злоумышленники начинали свои атаки с заражения сотрудников банка этой вредоносной программой. Затем они получали доступ к системам, которые позволяли переводить денежные средства и обналичивать их.

Эксперты считают, что наличие исходного кода Carbanak в открытом доступе поможет лучше проанализировать деятельность FIN7.

Интересно, что оба файла с кодом вредоноса (первый и второй) были загружены на VirusTotal с российских IP-адресов.

FireEye посвятила своей находке пост в блоге, с которым можно ознакомиться здесь.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru