Вирус «Пила» крадёт криптовалюты через подмену криптокошельков. Как не потерять монеты?
По информации NewsBTC, криптокомьюнити следует остерегаться нового типа вредоносного ПО. Хакеры возродили вымогательский вирус Jigsaw, который крадёт криптовалюту юзеров «простым, но эффективным способом».
Как не потерять свои биткоины
Впервые с Jigsaw столкнулись в 2016 году. Тогда вирус блокировал файлы пользователя и требовал выкуп в Биткоине. Программа получила своё название из-за отсылок к главному злодею фильма «Пила».
Совсем недавно хакеры переработали вирус для кражи крипты более виртуозным способом. ПО теперь просто модифицирует адреса криптокошельков, которые копирует юзер. Вместо скопированной комбинации вирус подставляет адрес мошенника. Из-за нового принципа действия вредоносный код даже получил новое название — теперь это «BitcoinStealer».
Примечательно, что другие вирусы тоже умеют подменять адреса кошельков. Правда, у BitcoinStealer есть одна интересная особенность — троян подбирает визуально похожие комбинации, чтобы пользователь даже не задумывался о нависшей над ним угрозе. Для этого BitcoinStealer использует программу VanityGen.
Инновации хакеров принесли им хорошую прибыль. По данным исследователей из Fortinet, бывший Jigsaw успел собрать 8,4 биткоина, что примерно составляет 61 500 долларов по текущей цене.
Пока самым распространённым видом мошенничества в крипте остаётся скрытый майнинг. Недавно компания Malwarebytes опубликовала новый отчёт, в котором прогнозирует медленный спад и этой сферы преступной индустрии.
Многие хакеры не ожидали, что их прибыль от скрытого майнинга уменьшится на фоне коррекции крипторынка. Скорее всего, оборот этой мошеннической деятельности сойдёт на нет в третьем квартале 2018 года.
Чтобы не стать жертвой вредоносного ПО, пользователю достаточно придерживаться нескольких простых правил. Речь идёт о проверке загруженности центрального процессора и использовании специальных браузеров. Другие хитрости узнаём в нашем чате.
Найден вирус, незаметно подменяющий в браузере адреса биткойн-кошельков при переводе средств
Исследователи нашли новый вирус, который мимикрирует под торрент-файл кино с сайта The Pirate Bay. Вредоносная программа может управлять выдачей браузерных поисковиков и подменять адреса криптовалютных кошельков адресами хакеров в процессе перевода средств.
В интернете появилась новая вредоносная программа, которая имитирует торрент-файл фильма с сайта The Pirate Bay, и может менять в браузере адреса кошелько в сетях Биткойна и Эфириума. Об этом рассказал исследователь Лоуренс Абрамс в публикации журнала Bleeping Computer.
Согласно его данным, изначально вирус был надстройкой для браузера и внедрял неавторизованную рекламу в результаты поиска Google, но сама программа выполняет несколько различных действий.
Так, вирус способен менять адреса криптовалютных кошельков на адреса, находящиеся под контролем злоумышленников. Подмена происходит, когда пользователь копирует адрес своего кошелька и затем пытается вставить его в другой строке.
Владелец кошелька может легко не заметить подмены, поскольку адреса состоят из длинных комбинаций цифр и знаков, отметили исследователи.
Программа обладает и другими свойствами, например, показывает фейковый баннер на главной страницей сайта Wikipedia с предложением перевести криптовалюты.
В ноябре прошлого года стало известно о новом вирусе-хайджекере WebCobra, который адаптируется под конфигурацию компьютера и скрытно добывает Monero и ZCash на зараженных компьютерах.
Согласно новому исследованию, криптовалюта Monero является наиболее популярной среди преступников, распространяющих скрытые вирусов-майнеров.
Подписывайтесь на Bitnovosti в telegram!
Делитесь вашим мнением об этой новости в комментариях ниже.
Злоумышленники атаковали владельцев криптовалют
Перевод не туда
Первая группа злоумышленников использует вирус под названием CryptoShuffler. Он следит за буфером обмена пользователя и, когда в него копируется ключ от кошелька криптовалюты, подменяет ключ на адрес кошелька злоумышленников. Так они могут украсть деньги с кошелька биткоина, Ethereum, Zcash, Monero, Dash, Litecoin, Dogecoin и других, сообщает «Лаборатория Касперского».
Адрес от кошелька криптовалюты состоит из большого количества символов, обычно больше 20. Поэтому при пересылке почти никто не переписывает его по символам, а используют функцию копирования и вставки. И в этот момент вирус просто подменяет адрес в буфере обмена. Это сложно заметить, потому что у многих кошельков первая часть адреса одинаковая, а остальная часть состоит из произвольного набора букв и цифр.
Сейчас на балансе биткоин-кошелька злоумышленников около 23 биткоинов — по актуальному курсу это около 165 тысяч долларов или почти 10 миллионов рублей. Эксперты безопасности не рассказали, как жертвы оказались атакованы вирусом.
Контроль над майнером
Другая группа злоумышленников использует более сложный метод кражи денег. Они пытаются получить доступ к операционной системе ethOS, которую майнеры используют для производства валюты Ethereum. Для этого используется бот, который исследует диапазон адресов майнинг-ферм с соединением без шифрования. Когда программа находит потенциальную жертву, производится подбор паролей для доступа к системе.
Если пользователь при настройке фермы не менял стандартное имя пользователя и пароль (live и live), то злоумышленники легко получают доступ к управлению системой. Они меняют адрес кошелька на свой и тогда жертва майнит криптовалюту для других, сообщили эксперты антивирусной компании Bitdefender. Пока им удалось украсть криптовалюты на 611 долларов — 36 тысяч рублей по курсу.
Вирус подмены биткоин адреса
Вирус, который подменяет кошелек в буфере обмена
Вчера столкнулся с пренеприятнейшим явлением. Копируя адрес своего биткоин кошелька в буфер обмена и вставляя его потом на одном из кранов, я обнаружил, что адрес то совсем не тот. И как я не пытался скопировать по новой адрес — вставлялся уже совершенно другой.
Погуглив я нашел немного информации. Оказывается это вирус Trojan.Coinbitclip.
Действует он следующим образом — как только в буфере обмена появляется нечто похожее на адрес биткоин кошелька — то вирус подменяет его на свой адрес. Таким образом когда вы захотите перевести кому-то ваши биткоины и вот так вот не глядя скопируете, а потом вставите адрес биткоин кошелька — вы переведете ваши средства злоумышленикам.
Данный вирус легко обходит системы защиты, так как не размещает свои файлы в папке windows/system32. А так же содержит базу из более чем 10 000 различных адресов. Жертвами этого вируса как правило становятся пользователи Windows 7 и более ранние версии. У меня например под раздачу попался компьютер на Windows XP 64 bit. Отыскать на эту систему работающий антивирус у меня так и не получилось. Я перепробовал около 5-ти антивирусов и ни один не захотел останавливаться.
Самые ранние упоминания об этом вирусе я нашел от 7-го ноября 2014 года. Так, что если у вас стоит современный антивирус с постоянным обновлением — то уверен, что вы вряд ли пострадаете. Но все же обращайте внимание, когда вставляете адрес биткоин кошелька и собираетесь сделать оплату.
Данный вирус распространяется через всякого рода аддоны к играм и взломщики. Любители халявного софта и читеры — это первая категория лиц, которые скорее всего пострадают от этого вируса.
Мне так и не удалось вычистить этот вирус из системы. Поэтому нужно или переустанавливать систему или же подключить жесткий диск к другому компьютеру и запустить проверку антивирусом.
О результатах этого процесса я еще отпишусь.
Новый вредонос крадёт биткоины пользователей, подменяя адреса
Если до последнего времени были известны три основных «сравнительно честных» способа кражи биткоинов, то теперь на сцене появился новый, четвертый способ. Обнаруженный недавно вредонос способен совершить физическую кражу криптовалюты, подменяя используемые пользователями адреса.
Одним из главных способов отъёма биткоинов у пользователей была и остаётся кража приватных ключей от кошельков, также известны так называемые боты-паразиты, которые майнят биткоины при помощи похищенной вычислительной мощности компьютеров, и, наконец, немалое число пользователей пострадало от вирусов-вымогателей. Последние известны тем, что шифруют файлы или жесткие диски на зараженных компьютерах, требуя за восстановление доступа выкуп в биткоинах.
И вот совсем недавно был обнаружен новый вид вредоноса, который перехватывает содержимое буфера обмена, заменяя скопированные адреса кошельков. Новый вирус был идентифицирован специалистами Symantec 2 февраля и получил название Trojan.Coinbitclip. Заменяя скопированный адрес, вредонос также обходит защиту мультисигнатурных и HD-кошельков.
Как установили специалисты, вредонос содержит длинный список биткоин-адресов, и выбирая при замене наиболее похожий, что, учитывая длину и сложность сочетания букв и цифр в адресах, призвано усложнить его обнаружение.
Так, в исходном коде одного из образцов вируса, специалисты Symantec обнаружили 10 тысяч адресов. Каждый из них был готов заменить собой адрес получателя транзакции, в результате чего средства отправляются на кошельки злоумышленников.
Сама идея копирования содержимого буфера обмена если и не нова, то подмена вирусом адресов кошельков – действительно новое явление, и единственным утешением может служить то, что широкого распространения троян пока не получил.
Насколько известно, в настоящий момент Trojan.Coinbitclip поражает компьютеры с операционной системой Windows 7 или с более ранними версиям, попадая в машину с предоставялемыми третьей стороной инструментами для популярной игры Hearthstone.
В Symantec называют уровень угрозы «очень низким» и уже обновили свое программное обеспечение, включив в него способы обнаружения и удаления вредоноса. Вирусы, впрочем, имеют свойство мутировать и эволюционировать, поэтому не будет лишним еще раз напомнить о необходимости соблюдать элементарные правила сетевой безопасности.
