Вирус в авиабилете!

ComboJack Или будьте осторожны с PDF файлами в почте.

5 марта, команда Palo Alto Networks’ Unit 42, обнаружила новый вирус, который подменяет адрес кошельков из буфера Windows и работает сразу с 4 криптовалютами Bitcoin, Ethereum, Litecoin  и Monero. Адреса кошельков обычно длинные и сложные, и чтобы избежать ошибок, пользователи прибегают к копированию адреса кошелька в буфер Windows и затем вставляют всю строку в свой кошелек. Хитрый вирус подменяет кошелек на лету, причем он сразу отличает какую именно криптовалюту вы хотите отправить. В этом смысле, он напоминает еще одну вредоносную программу CryptoGhuffler, обнаруженную в 2017 году лабораторией Касперского. Но, в отличие от последнего, ComboJack нацелен на хищение средств с платежных систем Qiwi и Яндекс Деньги. Таким образом, вирус очень диверсифицирован, 4 криптовалюты и две платежные системы. Вирус попадает в систему путем отправки на ваш почтовый адрес проездного документа в формате PDF.

Далее, открытие этого файла, показывает одну строку встроенного в себя файла RTF, которые использует эксплоит CVE-2017-8579, повышающий собственные привилегии, в свою очередь использующий  уязвимости в Microsoft DirectX, чтобы загрузить встроенный удаленный объект. А этот объект, в свою очередь, это HTA файл (приложение HTML) запускает сценарий PowerShall, который, в свою очередь, запускает строку самораспаковывающихся исполняемых файлов (SFX), что в конечном итоге, запускает ComboJack. Это позволяет ComboJack использовать средство attrib.exe, чтобы установить свои собственные атрибуты, что позволяет вирусу скрывать свой файл от пользователя и выполнять свои задачи с привилегиями системного администратора. Программа начинает проверять содержимое буфера обмена компьютера раз в секунду на предмет наличия там адреса электронного кошелька. Каждый тип кошелька использует свои правила наименования, например Monero, имеет длину 95 или 106 символов и начинается с “4”, в таком случае вирус подставляет свой номер кошелька и ваши монету утекают мошенникам.

Очевидно, что программа разработана в России, ввиду направленности на местные платежные системы Qiwi и Yandex Money, поэтому наибольший риск несут в себе письма с электронными билетами на самолет и на поезд. Стоит открывать такие письма сначала на смартфоне, и только после того, как вы убедитесь, что билеты подлиные, можно открыть письмо на компьютере и распечатать его. Пользователи Mac OS и Linux, могут спать спокойно, им данный вирус не угрожает.

https://www.scmagazine.com/combojack-malware-steals-digital-payments-cryptocurrency-by-modifying-info-saved-to-clipboards/article/749086/