Новое вредоносное ПО крадет криптовалюту, подменяя данные в буфере обмена

На протяжении десятилетий буфер обмена был повседневной частью вычислительного опыта, независимо от того, используется ли он на Windows, Mac или Linux. Но теперь злоумышленники нашли способ получить доступ к вашему буферу обмена, чтобы вставить вредоносное ПО, которое будет красть вашу криптовалюту.

Это заставит вас дважды подумать в следующий раз, когда вы будете копировать и вставлять конфиденциальную информацию, особенно криптовалюту. Новое применение вредоносного ПО заменит адрес вашей криптовалютной транзакции на адрес кошелька злоумышленника.

Преступление

Вредоносное ПО ComboJack работает с несколькими валютами, полагаясь на то, что вы не проверяете кошелек, на который отправляете свою транзакцию. Существует множество спам-электронных писем, которые использовались для распространения вредоносного ПО, и огромное количество писем показывает, что злоумышленники добиваются успеха в своих усилиях.

Но не думайте, что вы в безопасности только потому, что не используете Bitcoin, так как не криптовалютные цифровые платежные системы, такие как WebMoney и Яндекс.Деньги, также находятся под угрозой.

news-clipboard-malware-coins

Исследователи из Palo Alto Networks наткнулись на эту кампанию вредоносного ПО, наблюдая за кампанией фишинга по электронной почте, которая нацеливалась на пользователей как в Америке, так и в Японии.

Электронные письма не используют имена жертв, но утверждают, что паспорт был утерян, инструктируя читателя открыть документ, содержащий сканированную версию паспорта, чтобы «проверить, знаете ли вы владельца».

Как только получатель электронного письма открывает файл, ему говорят разрешить запуск встроенного файла, чтобы он мог просмотреть документ. Если они следуют инструкциям и разрешают запуск файла, это позволит встроенному RTF-файлу внедрить код и выполнить команды PowerShell, которые будут использоваться для загрузки ComboJack и его выполнения.

ComboJack затем начнет работать, используя встроенный инструмент Windows, attrib.exe, что позволит ему скрыть себя от получателя электронного письма и также выполнять процессы с высокими привилегиями.

Затем он начнет цикл, в котором будет проверять содержимое буфера обмена каждые полсекунды, чтобы увидеть, скопирована ли информация о криптовалютах. Если он обнаружит это, он заменит текущий адрес на адрес, связанный со злоумышленником, надеясь, что жертва этого не заметит.

За пределами этой эксплуатации

news-clipboard-malware-clipboard

Помимо того, что организация пытается украсть криптовалюту, это определенно означает, что из вашего буфера обмена может быть украдено что угодно. И многие из нас используют функцию буфера обмена для множества вещей.

Вопрос в том, используете ли вы функцию буфера обмена для чего-то, что могло бы быть потенциально вредным, если бы это было украдено, например, для паролей. Иногда пароли отправляются вам по электронной почте для настройки учетной записи, и они могут быть такими длинными и заполненными цифрами и буквами, что самым простым решением будет их копирование и вставка.

Конечно, это потребует, чтобы кто-то сидел на другом конце и постоянно проверял ваш буфер обмена на наличие информации о паролях и знал, куда она пойдет, так что это довольно натянуто. Но теперь мы знаем, что это может потенциально произойти.

Важно знать, что буфер обмена является уязвимостью, поэтому лучше держать это в уме, когда вы копируете и вставляете.

Возможные решения

Эта конкретная уязвимость была исправлена Microsoft в сентябре прошлого года, поэтому первой линией защиты является поддержание вашей операционной системы в актуальном состоянии. Кроме того, вам нужно быть осторожным с электронными письмами от неизвестных организаций, которые просят вас загрузить вложения. Надеемся, что это то, что вы уже делаете.

Беспокоит ли вас этот тип уязвимости? Могли бы вы когда-либо представить, что ваш буфер обмена может быть использован в злонамеренных целях? Дайте нам знать ваше мнение об этом в комментариях.