Троян для кражи криптовалюты маскируется под программу для прокси

Вредоносное ПО ClipBanker, которое подменяет адреса кошельков в буфере обмена и используется для кражи криптовалюты, нашли на GitHub. Эксперты «Лаборатории Касперского» уточнили, что среди потенциальных жертв атаки есть пользователи из России.

Троян выдаёт себя за программу Proxifier, которой пользуются разработчики и системные администраторы для обеспечения работы нужных приложений в защищённых средах. Злоумышленники распространяют его через крупнейший веб-сервис для хостинга ИТ-проектов, которому доверяет ИТ-сообщество. Ссылка на репозиторий с вредоносным содержимым находится в топе выдачи популярных поисковых систем.

Атака отличается длинной цепочкой заражения. Проект на GitHub содержит архив с текстовым документом и исполняемым файлом, который является вредоносной оболочкой над установщиком настоящей программы Proxifier. Текстовый документ содержит ключи активации для этого ПО. ClipBanker попадает на устройство при загрузке вместе с легальным установщиком. Пользователь видит привычное окно, а вредоносное ПО работает в скрытом режиме.

Эксперты отметили, что даже официальная платформа не является гарантией отсутствия вредоносного содержимого в устанавливаемых программах. Именно такие пользующиеся доверием ресурсы часто используют злоумышленники для публикации модифицированных установщиков с вредоносным ПО под видом востребованных инструментов.