ClipboardWalletHijacker обнаружен в Азии и заразил более 300 тыс. устройств, но пока принес своим авторам всего $800.
Китайские ИБ-эксперты рассказали о массированной кампании по распространению нового зловреда. Атака нацелена на похищение криптовалюты при помощи подмены номера кошелька в буфере обмена. Как заявляют исследователи, вредоносное ПО установлено более чем на 300 тыс. компьютеров.
Программа получила название ClipboardWalletHijacker. Это классический угонщик с возможностью контроля буфера обмена. Атака началась на прошлой неделе — ее целью являются устройства под управлением Windows.
Зловред проникает на компьютер и ждет, пока пользователь скопирует номер криптовалютного кошелька в буфер обмена перед тем, как вставить его в поле “Получатель платежа”. Это распространенная практика, поскольку такие данные обычно представляют собой довольно длинную последовательность символов.
ClipboardWalletHijacker подменяет этот номер на адрес кошелька злоумышленника в расчете на то, что жертва не заметит отличий и отправит деньги на другой счет. По словам экспертов, вредонос отслеживает получателей транзакций в биткойнах и Ethereum, а затем переводит средства на один из трех кошельков преступников.
Аналитики обнаружили более 300 тыс. компьютеров, зараженных вредоносной программой. Большая часть из них находится в Китае и соседних странах. Поскольку область исследования была ограничена азиатским регионом, достоверной информации о распространении ClipboardWalletHijacker за его пределами нет.
Несмотря на большое количество установок, злоумышленники пока не получили ощутимой прибыли от вредоносной кампании. Как заявили исследователи, в биткойн-кошельки киберпреступников поступило около $800 по текущему курсу, а криминальных транзакций в Ethereum не зафиксировано вовсе.
Возможно, мошенники были вдохновлены примером трояна CryptoShuffler, чьи атаки были зарегистрированы в конце прошлого года. Подменяя номер кошелька в буфере обмена, зловред сумел похитить у своих жертв 23 биткойна.
Программы для кражи криптовалюты активно распространяются на криминальном рынке. В январе 2018 года специалисты обнаружили, что многофункциональный троян Evrial продается на площадках дарквеба по цене менее $30. Вредоносный скрипт умел не только работать с буфером обмена, но и копировать файлы с рабочего стола и делать скриншот активного окна.