Новое вредоносное ПО распространяет трояны через клонированный веб-сайт крипто-торговли
Согласно сообщению Bleeping Computer от 5 июня, пользователь Twitter и исследователь вредоносного ПО Fumik0_ обнаружили новый веб-сайт, распространяющий криптовалютное вредоносное ПО.
Согласно отчету, хостом для передачи этих вирусов является веб-сайт, имитирующий веб-сайт для Cryptohopper, веб-сайт, на котором пользователи могут программировать инструменты для автоматической торговли криптовалютой.
Как сообщается, при посещении сайта мошенников он автоматически загружает установщик setup.exe, который заражает компьютер при запуске. Панель настройки также будет отображать логотип Cryptohopper в очередной попытке обмануть пользователя.
Говорят, что при запуске установщика устанавливается троян Vidar для кражи информации, который дополнительно устанавливает два трояна Qulab для майнинга и захвата буфера обмена. Сlipper и майнеры затем развертываются раз в минуту, чтобы непрерывно собирать данные.
Сам троян для кражи информации, Vidar, попытается очистить пользовательские данные, такие как файлы cookie браузера, историю браузера, информацию об оплате браузера, сохраненные учетные данные для входа в систему и криптовалютные кошельки. Информация периодически компилируется и отправляется на удаленный сервер, после чего компиляция удаляется.
Захватчик буфера обмена Qulab попытается подставить свои собственные адреса в буфер обмена, когда обнаружит, что пользователь скопировал строку, похожую на адрес кошелька. Это позволяет криптовалютным транзакциям, инициированным пользователем, вместо этого перенаправляться на адрес злоумышленника.
У этого захватчика есть адресные замены для эфира (ETH), биткоинов (BTC), bitcoin cash (BCH), dogecoin (DOGE), dash (DASH), litecoin (LTC), zcash (ZEC), bitcoin gold (BTG), xrp и qtum.
Как сообщается, один кошелек, связанный с clipper, получил 33 BTC, или 258,335 долларов США на момент печати, по адресу замещения «1FFRitFm5rP5oY5aeTeDikpQiWRz278L45», хотя, возможно, это все не только из-за мошенничества в Cryptohopper.
Как ранее сообщал Cointelegraph, в мае была обнаружена крипто-мошенническая кампания на YouTube, заманивающая жертв обещанием бесплатного генератора BTC. После того, как пользователи запустят предполагаемый генератор BTC, который автоматически загружается при посещении соответствующего веб-сайта, они будут заражены трояном Qulab. Затем троян Qulab попытается украсть информацию о пользователе и запустить захватчик буфера обмена для криптоадресов.
Перевод материала: https://cointelegraph.com/news/new-malware-campaign-spreads-trojans-through-clone-crypto-trading-website