Вредонос CryptoCurrency Clipboard Hijackers подменяет криптовалютные адреса в буфере обмена

За последний год криптовалюты приобрели у пользователей огромную популярность, однако для осуществления транзакций по-прежнему используются длинные, сложные для запоминания адреса. Поэтому при переводе средств большинство пользователей просто копируют адрес получателя из одного приложения и вставляют в другое.

Вредоносное ПО CryptoCurrency Clipboard Hijackers способно осуществлять мониторинг буфера обмена Windows на предмет наличия адресов криптовалютных кошельков и подменять их другими, подконтрольными злоумышленникам. Если при переводе средств пользователь просто скопирует адрес, предварительно его не проверив, криптовалюта будет переведена на кошелек операторов вредоноса.

Способное подменять данные в буфере обмена вредоносное ПО не является чем-то совершенно новым. Тем не менее, в отличие от других подобных программ, осуществляющих мониторинг 400-600 тыс. адресов, CryptoCurrency Clipboard Hijackers следит за 2,3 млн адресов, сообщает Bleeping Computer.

Вредонос был обнаружен в распространявшемся на прошлой неделе пакете All-Radio 4.27 Portable. После установки пакета в папку Windows Temp на зараженном компьютере загружается DLL-библиотека d3dx11_31.dll. Когда пользователь авторизуется в системе, библиотека запускается с помощью компонента Windows для автозапуска DirectX 11. Далее библиотека выполняется с использованием rundll32.exe и команды rundll32 C:Users[user-name]AppDataLocalTempd3dx11_31.dll,includes_func_runnded.

CryptoCurrency Clipboard Hijackers работает в фоновом режиме незаметно для пользователей зараженных компьютеров. Лучший способ обезопасить себя от вредоноса – перепроверять копируемые криптовалютные адреса и использовать антивирусные решения.

В видео ниже представлен процесс замены адресов в буфере обмена Windows.

Источник