Новый вредонос подменяет адреса платежных систем в буфере обмена

Олег Иванов 06 Марта 2018 - 16:53

Домашние пользователи

...

Исследователи в области безопасности обнаружили новую вредоносную программу, способную обнаруживать, когда пользователи копируют адрес криптовалютного кошелька в буфер обмена Windows, а затем подменять этот адрес адресом злоумышленника.

Зловред получил имя ComboJack, своими действиями он очень похож на таких вредоносов, как Evrial и CryptoShuffler. Разница заключается в том, что ComboJack поддерживает многие криптовалюты, не только биткоин.

По данным Palo Alto Networks, ComboJack фиксирует момент, когда пользователь копирует адрес кошелька в буфер обмена. Примечательно, что помимо таких валют, как Bitcoin, Litecoin, Ethereum и Monero, вредонос учитывает и адреса платежных систем Qiwi, Яндекс Деньги и WebMoney (как долларовые, так и рублевые платежи).

Специалисты Palo Alto предупреждают, что в настоящее время ComboJack активно распространяется злоумышленниками. Исследователям удалось обнаружить этого вредоноса в кампаниях, нацеленных на японских и американских пользователей.

Схема распространения довольно сложна, опирается на шаблоны вредоносной кампании банковского трояна Dridex, а также вымогателя Locky. Злоумышленники посылают жертвам электронные письма, в которых якобы находится скан утраченного паспорта. Письма содержат вложение в формате PDF.

Если пользователь загружает и открывает этот PDF-файл, запускается RTF-файл, содержащий встроенный объект HTA, который пытается использовать уязвимость DirectX CVE-2017-8579.

При успешной эксплуатации запускается ряд команд PowerShell, которые загружают и выполняют самораспаковывающийся исполняемый файл (SFX). Затем этот SFX загружает следующий SFX, защищенный паролем, и только он устанавливает ComboJack.

После этого ComboJack начинает сканирование буфера обмена Windows каждые полсекунды на наличие нового содержимого. Эксперты Palo Alto советуют пользователям внимательно проверять адреса, на которые они делают переводы.

Специалисты опубликовали таблицу, на которой отражены условия подмены адресов вредоносной программой, а также адреса кошельков злоумышленника:

Напомним, что в январе мы писали о вредоносе Evrial, который подменяет биткойн-адреса в буфере обмена Windows.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Яков Шпунт 16 Декабря 2025 - 12:58

Мошенничество Онлайн-мошенничество Домашние пользователи

УБК МВД предупреждает о риске демонстрации экрана

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупредило о мошеннической схеме, связанной с включением демонстрации экрана. Под этим предлогом злоумышленники похищают различные данные, включая персональную и платёжную информацию.

Как сообщил телеграм-канал УБК МВД, чаще всего такую схему разыгрывают под видом проверки кандидатов при трудоустройстве.

Просьба включить демонстрацию экрана обычно исходит от якобы представителя отдела кадров или службы безопасности. В качестве предлога используются формулировки вроде «проверка лояльности» или «отсутствие связей с конкурентами».

В рамках подобной «проверки» злоумышленники требуют продемонстрировать:

личные чаты в мессенджерах;
настройки конфиденциальности и активные сеансы;
местоположение через картографические сервисы.

Таким образом, как отмечают в профильном управлении МВД, мошенники получают доступ к переписке, данным аккаунтов, геолокации, а также кодам для авторизации в учётных записях. В дальнейшем эта информация используется для новых атак или перепродаётся третьим лицам.

Ранее, в ноябре, МВД предупреждало о многоступенчатой схеме вымогательства. Злоумышленники, представляясь сотрудниками силовых структур или военнослужащими Украины, запугивали граждан и вынуждали передавать деньги через курьеров либо переводить средства на подконтрольные счета. Одним из основных источников геоданных в этой схеме становились сервисы знакомств.

Геоданные также были одной из ключевых целей кибератаки, получившей название «Операция Триангуляция», жертвой которой стала «Лаборатория Касперского».