Nowe złośliwe oprogramowanie wykorzystujące pocztę e-mail, nazwane ComboJack skierowany do japońskich i amerykańskich internautów do kradzieży kryptowaluty podczas transakcji. Po zainstalowaniu i czaieniu się w tle złośliwe oprogramowanie przechwytuje długi adres portfela kryptowalut ofiary przechowywany w schowku systemu Windows. Ze względu na ich ekstremalną długość wielu użytkowników po prostu kopiuje i wkleja ten ciąg znaków i wtedy ComboJack atakuje.
Odkryty przez badaczy z Palo Alto Networks, jest to wariant złodzieja kryptowalut o nazwie CryptoJack. Przechwytuje adres portfela kryptowalut ofiary zapisany w schowku i zastępuje go adresem portfela hakera. Dlatego ofiary uważają, że przesyłają cyfrową walutę do swoich osobistych wirtualnych portfeli, kiedy zamiast tego nieświadomie wklejają do wcześniejszej transakcji inny cel ukończenie.
Polecane filmy
CryptoShuffler był pierwszym złośliwym oprogramowaniem, które wykorzystało tego agenta kradnącego w 2017 r., ale skupiało się wyłącznie na Bitcoinie. W 2018 roku ComboJack będzie skierowany nie tylko do celu
Według raportu ofiary otrzymują e-maile dotyczące zagubionego paszportu. Podejrzana wiadomość zawiera prośbę o wyświetlenie załącznika, który rzekomo stanowi zeskanowany paszport w formacie PDF w celu identyfikacji. Jednak gdy ofiary otworzą plik PDF, wyświetlana jest im pojedyncza linia umożliwiająca otwarcie osadzonego dokumentu. Wewnątrz tego pliku dodatkowego znajduje się osadzony obiekt zdalny, który atakuje lukę w zabezpieczeniach systemu Windows.
„W sytuacji, gdy DirectX nieprawidłowo obsługuje obiekty w pamięci, występuje luka w zabezpieczeniach umożliwiająca podniesienie uprawnień” – stwierdza baza danych Microsoftu. „Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod w trybie jądra. Osoba atakująca może następnie zainstalować programy; przeglądać, zmieniać lub usuwać dane; lub utwórz nowe konta z pełnymi uprawnieniami użytkownika.”
Osadzony obiekt zdalny pobiera dwuczęściowy plik, z których jedna zawiera samorozpakowujący się plik wykonywalny, oraz druga część zawierająca komponenty chronione hasłem umożliwiające utworzenie i zainstalowanie ostatecznego ładunku: ComboJack. Następnie szkodliwe oprogramowanie korzysta z wbudowanego narzędzia systemu Windows, aby nadać mu uprawnienia na poziomie systemu, edytuje rejestr, aby upewnić się, że działa w tle, i wchodzi w nieskończoną pętlę. Następnie ComboJack co pół sekundy sprawdza w schowku systemowym adres portfela kryptowalut.
Dlaczego więc użytkownicy kryptowalut nie wpisują po prostu ręcznie adresów swoich portfeli? Ponieważ to jest ból. Adresy Ethereum mają długość 42 znaków, podczas gdy Bitcoin używa 34 znaków. Najdłuższy jest prawdopodobnie Monero, który opiera się na adresach o liczbie znaków od 95 do 106. Z tego powodu użytkownicy zazwyczaj kopiuj i wklej ich adresy, co stanowi dla hakerów wirtualną kopalnię złota.
O ile sugestia ręcznego wpisywania adresów podczas transakcji nie wchodzi w rachubę, o tyle otwieranie plików dołączonych do e-maili wysyłanych od nieznanych stron jest wyjątkowo złym pomysłem. W tym przypadku najważniejsza wskazówka zaczyna się od źle napisanej wiadomości wraz z jej podejrzanym załącznikiem. Ale nawet po otwarciu pliku PDF prośba o otwarcie kolejnego pliku powinna być kolejną ogromną czerwoną flagą.
Zalecenia redaktorów
- Najlepsze portfele Bitcoin
- Ten portfel kryptowalut dla dzieci nie jest tak głupi, jak się wydaje
- Haker gra w „Doom” na „niehakowalnym” portfelu BitFi Bitcoin Johna McAfee
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
