|
|
0
Названы сборки Windows, которые воруют криптовалютуСпециалисты компании «Доктор Веб» выявили несколько неофициальных сборок Windows со встроенным вирусом Trojan.Clipper.231 — он способен перечислять криптовалюту из кошелька пользователя на счета злоумышленников, минимально вмешиваясь в работу системы. В компании раскрыли названия заражённых образов и рассказали, как работает обнаруженный стилер. Trojan.Clipper.231 подменяет адреса криптокошельков в буфере обмена на адреса злоумышленников, и пользователь по недосмотру переводит средства на их кошельки. По подсчётам «Доктор Веб», с помощью этого метода хакеры уже похитили около $19 000. Специалисты обнаружили зловредную программу на ПК одного из своих клиентов. Также на нём были два других вредоноса — Trojan.MulDrop22.7578 и Trojan.Inject4.57873, необходимые для запуска стилера. Дальнейшее исследование показало, что клиент скачал уже заражённую сборку Windows с торрент-трекера. Всего было найдено пять инфицированных «кастомов»:
Каждая из них доступна на одном из торрент-трекеров. Но можно предположить, что это не единственный канал распространения стилера. Его инициализации в системе происходит в несколько этапов. На первом этапе через планировщик задач запускается вредоносная программа, которая создаёт новый логический диск и монтирует новый EFI-раздел, внедряя в систему остальные компоненты вредоносного ПО. Затем происходит внедрение трояна в системный процесс Trojan.Clipper.231 в системный процесс %WINDIR%\System32\Lsaiso.exe, а временные файлы удаляются. Trojan.Clipper.231 отслеживает содержимое буфера обмена и подменяет скопированные адреса криптокошельков на адреса, заданные злоумышленниками. При этом у него имеется ряд ограничений. Во-первых, выполнять подмену он начинает только при наличии системного файла %WINDIR%\INF\scunown.inf. Во-вторых, троян мониторит активные процессы. Если он обнаруживает опасные для себя приложения, то подмена адресов криптокошельков не производится. В компании уточнили, что рекомендуют пользователям скачивать только оригинальные образы Windows, а также отметили, что антивирусные решения Dr.Web успешно определяют и нейтрализуют Trojan.Clipper.231 и связанные с ним вредоносные приложения. Источник: 4PDA. Вы должны быть зарегистрированы для написания комментариев. |
|