Хакеры скрывают вредоносные программные программы с адресами адресов криптовалюты в пакетах Microsoft Office

По словам кибербезопасности Kaspersky, злонамеренные актеры пытаются украсть криптовалюту с помощью вредоносных программ, встроенных в поддельные расширения офиса Microsoft Office.

В одном из вредоносных списков, называемых «OfficePackage», есть реальные надстройки Microsoft Office, но скрывает вредоносное ПО, называемое Clipbanker, которое заменяет адрес кошелька из криптовалюты в Coper-Coper-Compocalcrenty в буфере обмена компьютера с адресом злоумышленника, сообщила исследовательская группа Kaspersky’s Anti-Malware.

«Пользователи кошельков криптовалюты обычно копируют адреса вместо их печати. ​​Если устройство заражено Clipbanker, деньги жертвы окажутся где -то совершенно неожиданным», – сказала команда.

Страница фальшивого проекта на Sourceforge имитирует законную страницу инструмента разработчика, показывающая дополнения офиса и кнопки загрузки, а также может появиться в результатах поиска.

Касперский сказал, что еще одна особенность цепочки инфекции вредоносных программ включает в себя отправку информации о зараженных устройствах, такой как IP -адреса, страна и имена пользователей в хакеров через Telegram.

Удолошительное ПО может также сканировать зараженную систему на наличие знаков, которые она уже установлена ​​ранее или для антивирусного программного обеспечения и удалить себя.

Злоумышленники могут продавать системный доступ к другим

Касперский говорит, что некоторые из файлов в фиктивной загрузке маленькие, что поднимает «красные флаги, так как офисные приложения никогда не бывают такими маленькими, даже если они сжаты».

Другие файлы прокладываются с мусором, чтобы убедить пользователей, что они смотрят на настоящий установщик программного обеспечения.

Фирма сказала, что злоумышленники обеспечивают доступ к зараженной системе «с помощью нескольких методов, включая нетрадиционные».

«В то время как атака в первую очередь нацелена на криптовалюту путем развертывания майнера и Clipbanker, злоумышленники могут продавать систему доступа к более опасным актерам».

Интерфейс находится на русском языке, который, как предполагает Касперский, может означать, что он нацелен на российских пользователей.

«Наша телеметрия указывает на то, что 90% потенциальных жертв находятся в России, где 4604 пользователя столкнулись с этой схемой в период с начала января по конец марта», – говорится в отчете.

Чтобы избежать падения жертвы, Касперский рекомендовал только загружать программное обеспечение из доверенных источников, поскольку пиратские программы и альтернативные варианты загрузки несут более высокие риски.

Связанный: хакеры продают контрафактные телефоны с крипто-кипениями вредоносной программы

«Распределение вредоносных программ, замаскированных под пиратское программное обеспечение, совсем не новое», – сказали в компании. «Поскольку пользователи ищут способы загрузки приложений за пределами официальных источников, злоумышленники предлагают свои собственные. Они продолжают искать новые способы, чтобы свои веб -сайты выглядели законными».

Другие фирмы также поднимают тревогу по поводу новых форм вредоносных программ, ориентированных на пользователей криптовалюты.

Whare Fabric заявила, что в отчете от 28 марта она обнаружила новое семейство вредоносных программ, которое может запустить фальшивое наложение, чтобы обмануть пользователей Android в предоставление их криптовалют семян, когда оно захватывает устройство.