На GitHub обнаружен троянец для подмены криптокошельков
Эксперты «Лаборатории Касперского» обнаружили на GitHub троянца ClipBanker под видом программы Proxifier. Зловред подменяет адреса криптокошельков в буфере обмена и попадает на устройство через вредоносную «обёртку» вместе с легитимным установщиком. Ссылка на репозиторий находится в топе выдачи популярных поисковых систем, а среди потенциальных целей есть пользователи из России.
На проекте GitHub под видом программы Proxifier распространяется троянец ClipBanker, который подменяет адреса криптокошельков в буфере обмена, сообщили SecPost эксперты «Лаборатории Касперского». По данным компании, вредоносное ПО попадает на устройство в результате длинной цепочки заражения: атакующие выбрали для распространения крупнейший веб-сервис для хостинга ИТ-проектов. Прокси-утилиту Proxifier обычно ищут разработчики и системные администраторы для работы приложений в защищённых средах. Репозиторий со зловредом находится в топе выдачи поисковых систем, как сообщили эксперты.
Особенность этой кампании, по данным «Лаборатории Касперского», заключается в механике заражения. Проект на GitHub содержит архив с исполняемым файлом и текстовым документом. Исполняемый файл является вредоносной «обёрткой» над установщиком легитимного ПО Proxifier, а текстовый документ содержит ключи активации для этого ПО. Вместе с легальным инсталлятором на устройство проникает ClipBanker. Пользователь видит окно типового установщика, после чего троянец продолжает работу скрытно.
Ранее SecPost писал о том, что из-за того, что россияне накопили на своих криптокошельках огромные суммы (по некоторым оценкам — больше триллиона рублей), преступники всё чаще на них охотятся. Злоумышленники используют массовый фишинг и вирусы для кражи паролей, а если это не срабатывает — переходят к реальным нападениям.
Читайте также
