С сайта — клона криптоплатформы Cryptohopper потенциальной жертве загружается исполняемый файл, оказывающийся троянцем, который затем скачивает в систему ещё две вредоносные программы. Об этом сообщает cnews.ru.
Скачалось — запускай!
Киберзлоумышленники подделали целую криптобиржу для распространения вредоносных программ, крадущих криптовалюту и конфиденциальные данные. Эксперт по информационной безопасности под псевдонимом Fumik0_обнаружил клон сайта легитимной трейдинговой платформы Cryptohopper, которая при первом же заходе на неё автоматически пытается загрузить на компьютер жертвы исполняемый файл под названием Setup.exe, снабжённый логотипом Cryptohopper в качестве иконки. (https://www.bleepingcomputer.com/news/security/fake-cryptocurrency-trading-site-pushes-crypto-stealing-malware/)
В случае, если жертва запускает этот файл, на компьютер устанавливается троянец семейства Vidar, который затем докачивает и устанавливает ресурсы двух других троянцев — уже семейства Qulab.
Один из них выполняет функции криминального криптомайнера. Второй — пытается перехватывать данные из буфера обмена.
Файлы Vidar и Qulab загружаются в подкаталоги в папке C:\ProgramData\. Судя по нижеприведённому скриншоту, как минимум часть из них скачиваются из ресурсов, располагающихся в Рунете.
После этого троянец Vidar создаёт в планировщике задач Windows задачу перезапускать и майнер, и перехватчик буфера обмена раз в минуту. Кроме этого, Vidar формирует ещё ряд каталогов, в которые сбрасываются собранные им данные о заражённой системе: куки и история браузера, платёжные данные и данные автозаполнения форм, оставшиеся в браузере, сохранённые логины, кошельки криптовалют, базы данных аутентификатора Authy 2FA, скриншот рабочего стола на момент заражения и так далее.
Всё это довольно быстро перекачивается на удалённый сервер: на жёстком диске остаются только пустые папки.
В случае, если жертва уже является клиентом платформы Cryptohopper (легитимной), то троянец переведёт все его или её криптонакопления, хранящиеся на этой бирже, на кошельки злоумышленникам.
Украсть все биткоины, остальное не трогать
В свою очередь, Qulab-перехватчик (клиппер) занимается тем, что на лету подменяет криптовалютные адреса: как правило, они длинные и состоят из случайных символов, так что пользователи не станут вбивать их руками, а скорее всего скопируют и вставят через буфер обмена.
Этим троянец и пользуется: пользователь копирует один адрес, а на выходе получается другой, — в результате на кошельки, принадлежащие преступникам, переводится некоторый объём криптовалют. Впрочем, как показывает приведённая ниже таблица, в некоторых случаях адреса подменяются, но без транзакции. Вероятно, что соответствующий модуль злоумышленник — автор троянца — взял из каких-то сторонних вредоносов.
Хуже всего, однако, придётся пользователям Bitcoin: размер «подменной» транзакции составляет 32,87981922 единицы криптовалюты, что, по текущему курсу, составляет более $250 тыс.
«Строго говоря, идея с фишинговым сайтом не слишком оригинальна, хотя, кажется, впервые у кого-то хватило наглости создавать клон целой биржи — и лишь для того, чтобы подсунуть доверчивым жертвам вредоносный модуль, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны, автоматическое скачивание какого-либо файла при входе на сайт уже должно вызывать подозрения. Пользователям криптовалют настоятельно рекомендуется проверять и подлинность адресов криптобирж, и если предлагается скачивать какой-либо исполняемый файл, его стоит проверить антивирусом или загрузить на VirusTotal».