События

Троян ComboJack заменяет скопированные в буфер обмена криптовалютные адреса

Исследователи безопасности из компании Palo Alto Networks обнаружили новое вредоносное ПО, способное выявлять скопированные в буфер обмена Windows адреса криптовалютных кошельков и заменять их адресами злоумышленников.

По словам специалистов, получившее название ComboJack вредоносное ПО аналогично Evrial и CryptoShuffler. Разница между ComboJack и этими двумя вредоносами заключается в том, что ComboJack поддерживает множество различных криптовалют, а не только биткойн.

ComboJack способен выявлять адреса для Bitcoin, Litecoin, Ethereum и Monero, а также для ряда других цифровых платежных систем, таких как Qiwi, Yandex Money и WebMoney (платежи в долларах США и рублях).

Исследователи обнаружили троян в ходе анализа фишинговой кампании, ориентированной на японских и американских пользователей. ComboJack распространяется посредством фишинговых писем в виде вложения в формате PDF.

Если пользователь загружает и открывает данный PDF-файл, следом открывается RTF-файл, содержащий встроенный объект HTA, который пытается проэксплуатировать уязвимость CVE-2017-8579 в DirectX.

При успешной эксплуатации файл HTA запускает ряд команд PowerShell, которые загружают и выполняют самораспаковывающийся архив (SFX). В свою очередь, данный SFX-файл загружает и запускает еще один защищенный паролем SFX, который затем устанавливает ComboJack.

После установки ComboJack начинает сканировать буфер обмена Windows каждые полсекунды на предмет нового контента. Когда пользователь копирует строку, которая соответствует шаблону для адреса криптовалютного кошелька (или платежной системы), ComboJack заменяет этот адрес одним из адресов злоумышленников.

Источник

Автор: Сергей Куприянов
6.03.2018 (17:58)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2020

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.