Россиян начал атаковать троян CryptoClipper, ворующий криптовалюту. Распространяется вирус вместе с фейковым установщиком браузера-анонимайзера Tor. Активность вируса зафиксировали специалисты «Лаборатории Касперского».
Как только троян попадает в систему, сразу регистрируется в автозапуске и всегда «сопровождает» пользователя, мониторя буфер обмена. Программа маскируется под легитимные приложения, копируя их ярлыки, например, Utorrent. Если в буфере появляется адрес, похожий на криптокошелёк, CryptoClipper сразу меняет его на адрес, ведущий к оператору вируса. Из-за такой схемы пострадали пользователи криптосервисов в 52 странах, но главная цель злоумышленников — россияне.
Хищение криптовалюты — это необратимый денежный перевод. Надежды вернуть средства жертвам в таких случаях практически нет. При этом зловред пассивен большую часть времени, из-за чего его трудно заметить в системе. Большинству вредоносных программ требуется канал связи между оператором и системой жертвы, данный же зловред действует без связи и полностью автономен. Такие программы могут годами находиться в системе пользователя, не проявляя признаков присутствия, пока не достигнут цели — подмены адреса криптокошелька жертвы.
Виталий Камлюк
Ведущий эксперт по кибербезопасности «Лаборатории Касперского»
Источник: Ferra