На протяжении десятилетий буфер обмена был повседневным явлением при работе на компьютере, независимо от того, использовался ли он в Windows, Mac или Linux. Но теперь злоумышленники проникли в ваш буфер обмена и могут установить вредоносное ПО, которое украдет вашу криптовалюту.
Это заставит вас дважды подумать, когда в следующий раз вы будете копировать и вставлять конфиденциальную информацию, особенно криптовалюту. Новое использование вредоносного ПО заменит адрес вашей криптовалютной транзакции на адрес кошелька злоумышленника.
Преступление
Вредоносная программа ComboJack работает с несколькими валютами, полагаясь на то, что вы не проверяете кошелек, на который отправляете транзакцию. Существует множество спам-сообщений, которые использовались для распространения вредоносного ПО, и огромное количество писем показывает, что злоумышленники преуспевают в своих усилиях.
Но не думайте, что вы в безопасности только потому, что не используете Биткойн, поскольку некриптовалютные цифровые платежные системы, такие как WebMoney и Яндекс Деньги, также подвергаются атакам.
Исследователи Palo Alto Networks наткнулись на эту кампанию вредоносного ПО, наблюдая за фишинговой кампанией по электронной почте, нацеленной на пользователей как в Америке, так и в Японии.
В электронных письмах не используются имена жертв, однако утверждается, что паспорт был утерян, и читателю письма предлагается открыть документ, содержащий его отсканированную версию, чтобы «проверить, знаете ли вы владельца».
Как только получатель электронной почты откроет файл, ему будет предложено разрешить запуск встроенного файла, чтобы он мог просмотреть документ. Если они последуют примеру и разрешат запуск файла, это позволит встроенному RTF-файлу внедрить код и запустить команды PowerShell, которые будут использоваться для загрузки ComboJack и его выполнения.
После этого ComboJack приступит к работе с помощью встроенного инструмента Windows attrib.exe, что позволит ему скрыть себя от получателя электронной почты, а также выполнять процессы с привилегиями высокого уровня.
Затем он запустит цикл, в котором будет проверять содержимое буфера обмена каждые полсекунды, чтобы увидеть, скопировал ли пользователь информацию о криптовалютах. Если он это обнаружит, он заменит текущий адрес адресом, связанным с злоумышленником, надеясь, что жертва этого не заметит.
За пределами этой эксплуатации
Помимо организации, пытающейся украсть криптовалюту, это, безусловно, означает, что из вашего буфера обмена потенциально может быть украдено что угодно. И многие из нас используют функцию буфера обмена для многих целей.
Вопрос в том, используете ли вы функцию буфера обмена для чего-либо, что может быть потенциально вредным в случае кражи, например паролей. Иногда пароли для создания учетной записи отправляются вам по электронной почте. Они могут быть настолько длинными и состоять из цифр и букв, что проще всего скопировать и вставить их.
Конечно, для этого потребуется, чтобы кто-то сидел на другом конце провода и постоянно проверял ваш буфер обмена на наличие информации о пароле и знал, куда она будет идти, так что это довольно натянуто. Но теперь мы знаем, что это потенциально может произойти.
Важно знать, что буфер обмена представляет собой уязвимость, поэтому лучше помнить об этом при копировании и вставке.
Возможные решения
Эта конкретная уязвимость была исправлена Microsoft в сентябре прошлого года, поэтому первая линия защиты — поддерживать вашу операционную систему в актуальном состоянии. Кроме того, вам следует быть осторожными с электронными письмами от неизвестных организаций, которые просят вас загрузить вложения. Надеюсь, вы уже этим занимаетесь.
Беспокоит ли вас этот тип уязвимости? Могли ли вы когда-нибудь представить, что ваш буфер обмена может быть взломан? Поделитесь с нами своим мнением по этому поводу в комментариях.
