Аналитики безопасности из двух компаний обнаружили новый случай, когда хакеры нацеливались на хакеров с помощью похитителей буфера обмена, замаскированных под взломанные RAT и инструменты для создания вредоносных программ.
Похитители буфера обмена довольно распространены, обычно они используются для мониторинга содержимого буфера обмена жертвы, чтобы определить адреса криптовалютных кошельков и заменить их адресами, принадлежащими оператору вредоносного ПО.
Это позволяет злоумышленникам на лету перехватывать финансовые транзакции и переводить деньги на свои счета. Эти похитители сосредоточены на более популярных криптовалютах, таких как биткойн, эфириум и монеро.
Исследователи ASEC заметили фальшивые предложения похитителей буфера обмена на хакерских форумах, таких как «Black Hat Russia». Мошенники заманивали начинающих хакеров взломанными версиями BitRAT и Quasar RAT, которые обычно продаются по цене от 20 до 100 долларов.
Те, кто пытается загрузить любой из предложенных файлов, перенаправляются на страницу Anonfiles, которая предоставляет архив RAR, который предположительно является сборщиком для выбранного вредоносного ПО.
Файл «crack.exe», содержащийся в этих архивах, на самом деле является установщиком ClipBanker, который копирует вредоносный двоичный файл в папку автозагрузки и запускает его при первой перезагрузке.
