Новая вредоносная программа ComboJack крадёт Bitcoin, Litecoin, Monero и Ethereum путём замены адреса назначения криптовалютной транзакции на адрес кошелька злоумышленника, меняя данные в буфере обмена.
Его мишенями становятся люди, которые не проверяют адреса назначения транзакций перед их окончательным утверждением. Интересно, что ComboJack предназначена в том числе и для «некриптовалютных» цифровых платёжных систем, включая WebMoney и Яндекс.Деньги.
Исследователи по проблемам кибербезопасности из Palo Alto Networks обнаружили эту вредоносную программу при наблюдении за фишинговой e-mail-кампанией, направленной на американских и японских пользователей. То, что злоумышленники до сих пор усиленно используют спам для распространения вредоносных программ, подтверждает, что они успешно воруют криптовалюты у безалаберных и доверчивых пользователей.
В шаблонах спамовых писем нет обращения к потенциальным жертвам по имени, но есть утверждение о том, что «в моём офисе [кто-то] забыл паспорт», просьба открыть «отсканированный документ» и «проверить, не знаете ли вы владельца».
Жертву подстрекают на открытие прикреплённого файла. В результате этого запускается встроенный RTF-файл с эксплойтом CVE-2017-8759, который позволяет злоумышленникам вводить код и запускать команды PowerShell, используемые для загрузки и выполнения ComboJack.
Исследователи отмечают, что методы распространения вредоносных писем и программ аналогичны тем, которые использовались в ходе кампаний по распространению вирусов-вымогателей Dridex Trojan и Locky в 2017 году. Они оказались довольно успешными, несмотря на простую тактику.
После установки на компьютере ComboJack использует встроенный инструмент Windows attrib.exe, который позволяет ему скрываться от пользователя и выполнять процессы с высокими привилегиями.
С этого момента ComboJack входит в рабочий цикл, при котором он анализирует содержимое буфера обмена через каждые полсекунды, чтобы проверить, не скопировал ли человек информацию с адресом кошелька криптовалют:
- Bitcoin,
- Litecoin,
- Monero,
- Ethereum.
Если ComboJack обнаружит адрес кошелька, он заменит его на другой, который принадлежит злоумышленникам. Положение усугубляется тем, что у многих пользователей нет привычки проверять адрес, куда должны быть отправлены средства.
Исследователи из Palo Alto Networks пишут в отчете:
Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки.
У ComboJack есть сходства с ранее обнаруженной формой вредоносного программного обеспечения CryptoShuffler, хотя нет прямых доказательств того, что они так или иначе связаны. В Palo Alto Networks также говорят, что пока нет каких-либо предположений о том, кто стоит за ComboJack.
Поскольку ComboJack полагается на использование уязвимости, которая была исправлена компанией Microsoft в сентябре 2017 года, один из возможных способов защиты от вредоносной программы — обновление операционной системы.
Следует также остерегаться неожиданных писем и странных вложений, особенно если такое сообщение не адресовано вам напрямую.