Новый вредонос мониторит буфер обмена в поиске 2,3 млн криптоадресов

Новый вредонос мониторит буфер обмена в поиске 2,3 млн криптоадресов

Особенность работы пользователей с адресами криптовалютных кошельков приводит к тому, что злоумышленники создают специальные вредоносные программы, мониторящие буфер обмена и подменяющие такие адреса. Часто пользователям сложно запомнить длинные адреса криптокошельков, поэтому они копируют и вставляют их.

Стоит вспомнить хотя бы продаваемый на форумах хакерской тематики троян Evrial, который работал именно по этому принципу.

Теперь специалисты сообщают о новом вредоносе — CryptoCurrency Clipboard Hijackers. Схема его работы такая же — мониторить буфер обмена на предмет наличия в нем адреса криптокошелька, а затем подменять его на тот, которым владеет злоумышленник.

Эксперты наткнулись на вариант этого зловреда, который ищет более 2,3 миллионов адресов.

Исследователи опубликовали видео, чтобы продемонстрировать работу этой вредоносной программы:

Что может сделать обычный пользователь? Проверять и перепроверять вводимые и копируемые адреса.

Образец зловреда, о котором пишут исследователи, распространяется в комплекте All-Radio 4.27 Portable, мы писали о нем вчера.

После установки файл d3dx11_31.dll загружается во временную папку Windows Temp, затем для этой библиотеки создается объект автозапуска под именем «DirectX 11». Эта DLL запускается при помощи rundll32.exe следующей командой:

rundll32 C:\Users\[user-name]\AppData\Local\Temp\d3dx11_31.dll,includes_func_runnded

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Мошенники выманивают ключи к аккаунтам Госуслуг, притворяясь техподдержкой

Обязательная двухфакторная аутентификация (2FA) на Едином портале госуслуг РФ усложнила задачу взломщикам аккаунтов. Злоумышленники теперь от имени службы поддержки сообщают о проблемах, а потом через звонок выманивают одноразовые коды доступа.

Установка 2FA на вход в личный кабинет стала обязательной на «Госуслугах» с прошлого месяца. По данным Минцифры, до ввода этого требования дополнительную защиту включили 41 млн зарегистрированных пользователей.

Схема получения несанкционированного доступа к аккаунтам «Госуслуг», которую теперь практикуют злоумышленники, использует элементы социальной инженерии и выглядит следующим образом.

Потенциальная жертва получает по почте, СМС или в мессенджере поддельное уведомление о взломе аккаунта или его блокировке из-за подозрительной активности. В сообщении указан номер телефона, в которого должны позвонить из службы поддержки; пользователь также может сам позвонить на него для ускорения процесса.

В ходе телефонного разговора мошенники просят сообщить код 2FA, якобы для проверки доступа. Как вариант, они могут предоставить ссылку для загрузки программы, помогающей восстановить доступ (на самом деле — вредоноса, который ворует данные либо открывает удаленный доступ к устройству жертвы).

В базе ИБ-проекта «Мошеловка» уже числятся несколько сотен случаев получения поддельных сообщений в рамках данной мошеннической схемы. К счастью, пострадавших пока немного.

«Злоумышленник может получить доступ к аккаунту «Госуслуг» только в том случае, если пользователь сам передаст всю необходимую для входа информацию, либо если его данные будут скомпрометированы, — пояснили в Минцифры в ответ на запрос «Известий» о комментарии. — Сотрудники портала никогда не звонят и не присылают СМС без заявки гражданина».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru