Новая угроза для пользователей криптовалюты
Кибербезопасностная компания Kaspersky выявила новую угрозу, нацеленную на пользователей криптовалюты. Вредоносное ПО, встроенное в поддельные расширения Microsoft Office, было загружено на сайт хостинга программного обеспечения SourceForge. Это зловредное приложение под именем officepackage включает в себя оригинальные дополнения Microsoft Office, но скрывает вредоносное ПО, известное как ClipBanker.
Как работает ClipBanker
Данная программа заменяет скопированный адрес криптокошелька в буфере обмена на адрес злоумышленника, что представляет собой значительный риск для пользователей, поскольку многие из них копируют адреса вместо того, чтобы вводить их вручную. Если устройство заражено ClipBanker, средства жертвы могут быть перенаправлены на неожиданный счет.
Методы обмана пользователей
Команда по противодействию вредоносным программам Kaspersky отметила, что страница поддельного проекта на SourceForge имитирует страницу законного инструмента для разработчиков, отображая офисные дополнения и кнопки загрузки. Это может затруднить обнаружение угрозы, поскольку такие страницы могут появляться в результатах поиска.
«Вредоносное ПО передает информацию о зараженном устройстве, такую как IP-адрес, страна и имена пользователей, хакерам через Telegram.»
Узнайте о дополнительных рисках
Оно также способно сканировать зараженную систему на наличие антивирусного ПО и удалять себя, если будет обнаружено. Kaspersky также сообщила, что некоторые файлы в ложной загрузке подозрительно малы, что наводит на размышления, так как офисные приложения обычно имеют больший размер, даже в сжатом виде. Другие файлы могут быть наполнены мусорными данными, чтобы создать иллюзию законного программного обеспечения.
Цели злоумышленников
Злоумышленники могут получить доступ к зараженным системам различными методами, включая неортодоксальные подходы. Хотя основной целью атаки является криптовалюта, злоумышленники также могут развернуть майнер и использовать ClipBanker для получения доступа к системам с последующей продажей этого доступа более опасным актерам.
Нацеливание на русскоговорящих пользователей
Интерфейс вредоносного ПО на русском языке, что указывает на возможное нацеливание на русскоговорящих пользователей. Телеметрия показывает, что 90% потенциальных жертв находятся в России, и 4604 пользователя столкнулись с этой угрозой с начала января по конец марта.
Рекомендации по безопасности
Чтобы снизить риск стать жертвой таких атак, Kaspersky советует загружать программное обеспечение только из надежных источников, так как пиратские версии и альтернативные варианты загрузки несут более высокий риск. Компания подчеркнула, что распространение вредоносного ПО под видом пиратского программного обеспечения не является новой тактикой, и злоумышленники постоянно ищут способы сделать свои сайты похожими на законные.
Забота о кибербезопасности
Другие компании в области кибербезопасности также выражают опасения по поводу новых форм злонамеренного ПО, нацеленного на пользователей криптовалют. Компания Threat Fabric сообщила о новой семье вредоносных программ, способных запускать поддельное наложение, обманывая пользователей Android и заставляя их предоставлять свои криптовалютные ключи, что эффективно захватывает контроль над устройством.
