Нова зловмисна програма на основі електронної пошти отримала назву ComboJack націлені на японських і американських веб-серферів для крадіжки криптовалюти під час транзакцій. Після встановлення та приховування у фоновому режимі шкідливе програмне забезпечення захоплює довгу адресу гаманця криптовалюти жертви, що зберігається в буфері обміну Windows. Через їхню надзвичайну довжину багато користувачів просто копіюють і вставляють цей рядок символів, і саме тоді ComboJack атакує.
Виявлений дослідниками з Palo Alto Networks, це варіант викрадача криптовалют під назвою CryptoJack. Він захоплює адресу криптовалютного гаманця жертви, внесену в буфер обміну, і замінює її адресою гаманця хакера. Таким чином, жертви вважають, що вони переводять цифрову валюту на свої особисті віртуальні гаманці натомість вони несвідомо вставляють інший пункт призначення в транзакцію перед цим завершення.
Рекомендовані відео
CryptoShuffler був першим зловмисним програмним забезпеченням, яке використовувало цей агент крадіжки в 2017 році, але зосереджувалося виключно на біткойнах. У 2018 році ComboJack приходить не тільки в ціль
Bitcoin інвесторів, але Ethereum, Litecoin, Monero та багато інших цифрових валют. Але цього шкідливого програмного забезпечення можна уникнути, якщо просто не відкривати вкладення електронної пошти з ненадійних джерел.Згідно з повідомленням, жертви отримують електронні листи про втрачений паспорт. У тіньовому повідомленні жертві пропонується переглянути вкладення, яке нібито є відсканованим паспортом у форматі PDF для ідентифікації. Але як тільки жертви відкриють PDF-файл, їм буде запропоновано один рядок для відкриття вбудованого документа. Всередині цього додаткового файлу є вбудований віддалений об’єкт, який атакує дірка в безпеці Windows.
«Існує вразливість до підвищення привілеїв, коли DirectX неналежним чином обробляє об’єкти в пам’яті», — йдеться в базі даних Microsoft. «Зловмисник, який успішно використав цю вразливість, міг запустити довільний код у режимі ядра. Потім зловмисник міг інсталювати програми; переглядати, змінювати або видаляти дані; або створіть нові облікові записи з повними правами користувача».
Вбудований віддалений об’єкт завантажує файл із двох частин, одна з яких містить виконуваний файл, що саморозпаковується, і друга частина, що містить захищені паролем компоненти для створення та встановлення остаточного корисного навантаження: ComboJack. Потім зловмисне програмне забезпечення використовує вбудований інструмент Windows, щоб надати йому привілеї на системному рівні, редагує реєстр, щоб переконатися, що воно продовжує працювати у фоновому режимі, і входить у нескінченний цикл. Потім ComboJack кожні півсекунди перевіряє системний буфер обміну на наявність адреси гаманця криптовалюти.
Чому ж користувачі криптовалюти просто не вводять адреси своїх гаманців вручну? Тому що це біль. Адреси Ethereum мають довжину 42 символи, тоді як Bitcoin використовує 34 символи. Найдовший, ймовірно, Monero, який покладається на адреси з кількістю символів від 95 до 106. Ось чому користувачі зазвичай копіювати і вставляти їхні адреси, що є віртуальною золотою жилою для хакерів.
Хоча пропозиція вводити адреси вручну під час транзакцій не може бути й мови, відкриття файлів, прикріплених до електронних листів, надісланих невідомими особами, є надзвичайно поганою ідеєю. У цьому випадку велика підказка починається з фактичного погано написаного повідомлення разом із підозрілим вкладенням. Але навіть після відкриття PDF-файлу запит на відкриття іншого файлу має бути ще одним величезним червоним прапором.
Рекомендації редакції
- Найкращі біткойн-гаманці
- Цей криптовалютний гаманець для дітей не такий дурний, як здається
- Хакер грає в «Doom» на «незламному» біткойн-гаманці BitFi Джона Макафі
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
