Копипейст с сюрпризом

Исследователи компании Palo Alto Networks обнаружили новый зловред для Windows, целью которого является похищение криптовалюты и перехват цифровых платежей. Свою задачу вредоносное ПО, получившее название ComboJack, решает с известной элегантностью. Троянец способен идентифицировать адреса цифровых кошельков, скопированные пользователем Windows в буфер обмена, и подменять их адресами кошельков организаторов атаки. Соответственно, осуществляя транзакцию, пользователь вставляет не тот адрес, который скопировал – и деньги переводятся киберпреступникам.

Троянец распространяется в фишинговых сообщениях электронной почты, замаскированный под вложение в формате PDF. В случае его загрузки и открытия автоматически открывается еще и файл RTF со встроенным HTA приложением, которое эксплуатирует уязвимость CVE-2017-8579 в DirectX. Ранее таким же образом распространялись банковский троянец Dridex и зловред-шифровальщик Locky. Стоит отметить, что схему с подменой скопированных адресов электронных кошельков уже использовали зловреды Evrial и CryptoShuffler. Однако они были ориентированы исключительно на биткойн-кошельки. «Круг интересов» ComboJack существенно шире: он способен выявлять и подменять адреса для транзакций в криптовалютах Bitcoin, Litecoin, Ethereum и Monero, а также в платежных системах Qiwi, Yandex Money и WebMoney.