Троян ComboJack заменяет скопированные в буфер обмена криптовалютные адреса

Исследователи безопасности из компании Palo Alto Networks обнаружили новое вредоносное ПО, способное выявлять скопированные в буфер обмена Windows адреса криптовалютных кошельков и заменять их адресами злоумышленников.

По словам специалистов, получившее название ComboJack вредоносное ПО аналогично Evrial и CryptoShuffler. Разница между ComboJack и этими двумя вредоносами заключается в том, что ComboJack поддерживает множество различных криптовалют, а не только биткойн.

ComboJack способен выявлять адреса для Bitcoin, Litecoin, Ethereum и Monero, а также для ряда других цифровых платежных систем, таких как Qiwi, Yandex Money и WebMoney (платежи в долларах США и рублях).

Исследователи обнаружили троян в ходе анализа фишинговой кампании, ориентированной на японских и американских пользователей. ComboJack распространяется посредством фишинговых писем в виде вложения в формате PDF.

Если пользователь загружает и открывает данный PDF-файл, следом открывается RTF-файл, содержащий встроенный объект HTA, который пытается проэксплуатировать уязвимость CVE-2017-8579 в DirectX.

При успешной эксплуатации файл HTA запускает ряд команд PowerShell, которые загружают и выполняют самораспаковывающийся архив (SFX). В свою очередь, данный SFX-файл загружает и запускает еще один защищенный паролем SFX, который затем устанавливает ComboJack.

После установки ComboJack начинает сканировать буфер обмена Windows каждые полсекунды на предмет нового контента. Когда пользователь копирует строку, которая соответствует шаблону для адреса криптовалютного кошелька (или платежной системы), ComboJack заменяет этот адрес одним из адресов злоумышленников.