Kryptowaluty w ostatnich latach zyskują na popularności, a w raz z nimi, pojawia się coraz więcej szkodliwego oprogramowania, które ma na celu kradzież tejże. Jak informuje serwis Bleeping Computer[1], trwa właśnie kampania, która wykorzystuje konia trojańskiego o nazwie ComboJack, zamieniającego numery portfeli kryptowaluty na własne.
Nie jest to nowa technika stosowana w złośliwym oprogramowaniu. W styczniu opisywałem inny przypadek szkodnika – Eviral, który również podmieniał adresy portfeli na własne, co kończyło się wysłaniem kryptowaluty do kogoś innego. Jednak nawet wtedy nie była to nowość. Już kilka lat temu szkodnik o nazwie VBKlip podmieniał numery kont bankowych na własne. Jego działanie opierało się na wykryciu ciągu 26 cyfr w schowku systemowym (np. po skopiowaniu numeru konta z faktury, którą użytkownik chce opłacić). Dość dobrze obrazuje to poniższy film.
ComboJack w przeciwieństwie do Evirala, potrafi podmienić portfele kilku różnych kryptowalut. Na chwilę obecną są to: Bitcoin, Litecoin, Etherum oraz Monero, ale również cyfrowe systemy płatności Qiwi, Yandex Money i WebMoney.
Sam atak polega na wysłaniu do użytkownika mailu (phishing powyżej), który ma rzekomo zawierać skan zgubionego paszportu. Próba pobrania i otwarcia pliku zakończy się uruchomieniem pliku RTF i wykorzystaniem luki w DirectX. W następnym kroku zostaje wykonanych kilka poleceń w PowerShellu i uruchomienie pliku samorozpakowującego się (SFX). Kiedy ComboJack będzie ostatecznie zainstalowany, co pół sekundy skanuje schowek systemowy w poszukiwaniu adresu portfela.
[1] https://www.bleepingcomputer.com/news/security/combojack-trojan-replaces-cryptocurrency-addresses-copied-to-windows-clipboard/