Программа ComboJack заменяет адреса криптокошельков, скопированные в буфер обмена

ИБ-эксперты из Palo Alto Networks зафиксировали новую вредоносную программу, которая может выявлять адреса криптокошельков, скопированные в буфер обмена Windows, и менять их на адреса кошельков киберпреступников.

Как утверждают специалисты, вредоносная программа ComboJack поддерживает большое количество разных криптовалют, а не только биткоин. Она может выявлять адреса для Bitcoin, Litecoin, Ethereum и Monero, а также для платежных систем Qiwi, Yandex Money и WebMoney.

Эксперты нашли троянскую программу во время анализа фишинговой кампании, направленной против пользователей из США и Японии. Распространение ComboJack осуществляется с помощью фишинговых писем с прикрепленным к ним PDF-документом.

После загрузки и запуска данного файла открывается RTF-документ, в котором имеется встроенный объект HTA, использующий уязвимость в DirectX.

В случае успеха файл HTA осуществляет запуск ряда команд PowerShell, загружающих и выполняющих самораспаковывающийся архив (SFX). Этот SFX-файл также производит загрузку и запуск еще одного защищенного паролем SFX-архива, который позже осуществляет установку ComboJack.

Проникнув на компьютер, ComboJack запускает сканирование буфера обмена Windows каждые полсекунды для проверки наличия нового контента. Когда пользователь копирует строку, соответствующую шаблону для адреса криптокошелька или платежной системы, ComboJack производит замену этого адреса на один из адресов, принадлежащих киберпреступникам.