Зловмисні актори намагаються вкрасти криптовалюту за допомогою зловмисного програмного забезпечення, вбудованого у підроблені розширення Microsoft Office, завантажені в Sounty Sounty Sould Sount, повідомляє фірма з кібербезпеки Касперський.
Один із шкідливих списків, що називається “OfficePackage”, має справжні додатки Microsoft Office, але приховує зловмисне програмне забезпечення під назвою Clipbanker, яке замінює адресу впорної криптовалюти на буфері обміну комп’ютера з адресою зловмисника, заявила дослідницька команда Касперського в звіті 8 квітня.
“Користувачі гаманців криптовалюти зазвичай копіюють адреси замість того, щоб вводити їх. Якщо пристрій заражений Clipbanker, гроші жертви опиняться десь зовсім несподівано”, – сказала команда.
Сторінка підробленого проекту на SourceForge імітує законну сторінку інструменту розробника, показуючи кнопки Office та завантажити кнопки, а також може з’явитися в результатах пошуку.
Касперський заявив, що ще одна особливість ланцюга інфекції зловмисного програмного забезпечення передбачає надсилання інформації про заражену пристрою, таку як IP -адреси, країни та імена користувачів для хакерів через Telegram.
Зловмисне програмне забезпечення також може сканувати заражену систему для знаків, які вона вже була встановлена раніше або для антивірусного програмного забезпечення та видалити себе.
Зловмисники могли продати доступ до системи іншим
Касперський каже, що деякі файли у фальшивому завантаженні невеликі, що піднімає «червоні прапори, оскільки офісні програми ніколи не такі невеликі, навіть при стисненні».
Інші файли підкладені з мотлохом, щоб переконати користувачів, що вони дивляться на справжній інсталятор програмного забезпечення.
Фірма заявила, що зловмисники забезпечують доступ до зараженої системи “за допомогою декількох методів, включаючи нетрадиційні”.
“Хоча атака в першу чергу орієнтується на криптовалюту, розгортаючи шахтаря та Clipbanker, зловмисники могли продати доступ до системи до більш небезпечного суб’єктів”.
Інтерфейс є російською мовою, яку міркує Касперський, може означати, що він націлений на російськомовних користувачів.
“Наша телеметрія вказує на те, що 90% потенційних жертв перебувають у Росії, де 4 604 користувачі стикалися з схемою між початку січня та кінця березня”, – йдеться у звіті.
Щоб уникнути падіння жертви, Касперський рекомендував лише завантажувати програмне забезпечення з довірених джерел, як піратські програми та альтернативні варіанти завантаження, несуть більш високі ризики.
Пов’язано: хакери продають підроблені телефони з криптовалютним зловмисним програмним забезпеченням
“Поширення зловмисного програмного забезпечення, замаскованого як піратське програмне забезпечення, – це не що інше, як нове”, – сказала компанія.”Оскільки користувачі шукають способи завантаження додатків за межами офіційних джерел, зловмисники пропонують свої власні. Вони продовжують шукати нові способи, щоб їх веб -сайти виглядали законно”.
Інші фірми також піднімають тривогу над новими формами зловмисних програм, націлених на користувачів криптовалют.
Тканина загрози заявила у звіті 28 березня, що знайшла нову сім’ю зловмисного програмного забезпечення, яка може запустити підроблену накладку, щоб обдурити користувачів Android, щоб надати свої фрази для насіння криптовалюти, коли вона переймає пристрій.
