Новости

« Назад

ESET 19.03.2018 11:35

1

 

Специалисты ESET обнаружили три зараженных приложения в каталоге программного обеспечения Download.com, одном из наиболее популярных сайтов в мире (163-е место в рейтинге Alexa). Вредоносный код, распространяющийся вместе с легитимными программами, предназначен для кражи биткоинов. Программа «срабатывает», когда пользователь копирует и вставляет адрес своего биткоин-кошелька, чтобы перевести туда средства.



Одной из жертв малвари стал пользователь Reddit с ником Crawsh, но в его случае история закончилась хорошо. Crawsh заподозрил неладное, когда пытался скопировать и вставить адрес своего кошелька Monero, чтобы перевести туда средства, и неожиданно увидел сообщение, что адрес недействителен. Он решил разобраться, что могло стать причиной ошибки, и выяснил, что проблема во вредоносном ПО. Малварь перехватывала в буфере обмена адрес кошелька пользователя и заменяла собственным – жестко закодированным адресом биткоин-кошелька. 



К счастью для Crawsh, адрес атакующих был предназначен для транзакций биткоинов. Целевое приложение отклонило Monero до того, как пользователь перевел средства. В отличие от других жертв, работавших с биткоинами, – их переводы были выполнены без сбоев. На сегодняшний день злоумышленники собрали 8,8 ВТС – около 4 млн рублей по курсу на 15 марта.



Эксперты ESET обнаружили на Download.com три троянизированных приложения, содержащих вредоносный код для кражи биткоинов:

  • Win32 Disk Imager – утилита для создания копий USB-флэшек и SD-карт, размещалась на CNET с 2 мая 2016 года, была загружена 311 раз в течение последней недели и больше 4500 раз в общей сложности
  • Code::Blocks – популярная кроссплатформенная среда разработки (Integrated Development Environment) на базе открытого исходного кода, ее используют многие C/C++ разработчики
  • MinGW-w64 – компилятор, программный порт GNU Compiler Collection для Microsoft Windows

 

По мнению специалистов ESET, вредоносный код в этих приложениях – работа одного и того же автора. Зараженные приложения удалены с Download.com после предупреждения ESET. 



Антивирусные продукты ESET детектируют вредоносный код в составе легитимных приложений. Эффективная мера защиты от подмены содержимого буфера обмена – двойная проверка адреса кошелька при совершении транзакции.

 

2


Контакты
Вы можете связаться с нами любым удобным для вас способом:
Адрес:
Республика Коми
г. Сыктывкар
ул. Первомайская 70Б
оф. 448
Звоните по номеру:
По любым вопросом можете оставить заявку и наши специлисты помогут Вам
;