CryptoBandits отнесен к категории так называемых криптоклипперов — вредоносных программ, которые в буфере обмена заменяют скопированные адреса криптокошельков на адреса злоумышленников. Проверка осуществляется каждые полсекунды, что позволяет вирусу практически незаметно вмешиваться в процесс отправки средств.
Одной из особенностей вируса стал способ распространения. Программа использует съемные носители, скрывая находящиеся на них документы, PDF-файлы и таблицы. Вместо оригинальных файлов пользователю отображаются ярлыки с теми же названиями и иконками, что у файлов. После клика по такому файлу запускается скрытый вредоносный код.
В Microsoft рассказали, что CryptoBandits охотится за биткоинами и другими популярными криптовалютами, включая Monero и Tron. При подмене используются кошельки, внешне похожие на оригинальные адреса, снижая вероятность обнаружения пользователем. Кроме того, вирус обладает функциями бэкдора. Он способен делать снимки экрана, собирать файлы, искать приватные ключи и сид-фразы криптокошельков, а также выполнять удаленные команды, полученные от операторов вредоносной сети.
Для сокрытия своей активности CryptoBandits использует многослойное шифрование. Связь с управляющей инфраструктурой идет через сеть Tor, затрудняя отслеживание действий злоумышленников и блокировку их серверов.
В качестве мер защиты специалисты Microsoft рекомендуют внимательно проверять адреса получателей перед отправкой криптовалюты, отключить автоматический запуск съемных носителей, включить отображение расширений файлов в Windows и регулярно обновлять антивирусное программное обеспечение.
Ранее специалисты нидерландской компании Fox-IT сообщили, что северокорейская хакерская группировка Lazarus Group начала использовать новый троян RemotePE для атак на криптовалютные проекты, биржи и финтех-компании. Вирус позволяет скрытно запускать вредоносный код в памяти устройства, затрудняя его обнаружение средствами защиты.
Источник: bits.media