Накануне в зарубежных СМИ появилась информация, призывающая быть внимательными всех держателей битка, эфира, лайткоина и Monero в связи с участившимися случаями мошенничества при помощи новой вирусной программы ComboJack. Это вредоносное ПО подменяет конечные адреса во время транзакции с использованием цифровых денег, и они поступают на счет хакера.
Потенциальными жертвами злоумышленников являются люди с халатностью относящиеся к проверке реквизитов транзакций в момент окончательного подтверждения операции. Также отмечается, что ComboJack способен воровать деньги и во время использования не токенизированных систем ЯДеньги и Вебмани.
Инженеры из агентства Palo Alto Networks, занимающегося исследованием киберугроз, идентифицировали КомбоДжек во время одного из случаев массовых атак с использованием e-mail рассылок на территории США. Использование спама для продвижения запрещенного ПО показывает, что этот способ не утратил свою эффективность и считается у преступников надежным инструментом для кражи токенов у доверчивых юзеров. Интересно, что используемые мошенниками шаблоны писем не содержат личного обращения по имени к своим целям. Стандартным вариантом является сообщение типа – «мы нашли паспорт, не могли бы вы открыть его скан и проверить, известен ли вам хозяин».
Юзеров всячески провоцируют на открытие прикрепленного файла, который автоматически активирует RTF-файл с эксплойтом CVE-2017-8759, дающий возможность грабителям оперировать командами PowerShell и загружать ComboJack на компьютер жертвы. Эксперты считают, что методы распространения нового хакерского ПО схожи с работой программ шантажистов Dridex Trojan и Locky, терроризировавших глобальную сеть в прошлом году. Их не замысловатая тактика распространения оказалась довольно эффективной.
Попав в систему ComboJack с помощью элемента Windows attrib.exe, позволяющего скрывать от внимания пользователя свои действия, начинает вести свою подрывную деятельность. Через каждые пол секунды вирус проверяет информацию из промежуточного хранилища данных на наличие сведений о кошельках и токенах. При обнаружении нужных данных он автоматически меняет адрес пункта назначения на реквизиты кошелька мошенника. Адрес состоит из сложной комбинации букв и цифр, а пользователю обычно лень проверять его. Данная черта человеческой личности и играет на руку преступникам.
Вирусное ПО ComboJack схоже по своей структуре с ранее выявленной программой-вредителем CryptoShuffler, но прямых улик, указывающих на данный факт пока не обнаружено. Как и остается загадкой личность ответственного за создание ComboJack хакера.
Работа ComboJack основана на использовании ранее выявленной уязвимости виндовс, которую корпорация Microsoft устранила осенью прошлого года. Поэтому одним из вариантов защиты от программы-вора ComboJack является обновление операционки. Кроме того остерегайтесь открывать подозрительные письма и файлы, особенно если они не адресованы вам лично с указанием вашего имени или никнейма.