«Лаборатория Касперского» нашла вредонос для кражи криптовалюты, распространяющийся под видом инструмента для настройки прокси-сервера
Изображение: recraft
На GitHub появился архив с троянцем ClipBanker, который прячется под видом утилиты Proxifier и ворует криптовалюту через подмену адресов кошельков в буфере обмена. Ссылка на заражённый репозиторий уже вышла в первые строчки поисковой выдачи, что резко увеличивает число потенциальных жертв. Кампанию обнаружили эксперты «Лаборатории Касперского», среди пострадавших есть пользователи из России.
Proxifier — известное приложение среди разработчиков и системных администраторов, его используют для настройки сетевых подключений в ограниченных средах.
Злоумышленники воспользовались этой репутацией и разместили заражённый архив на платформе, которой люди привыкли доверять. Когда такая ссылка ещё и оказывается в топе поиска, большинство пользователей даже не задумываются о проверке.
Внутри архива находятся два файла. Один выглядит как обычный установщик, второй содержит активационные данные для программы. Во время установки на экране всё идёт как обычно, появляется привычный интерфейс настоящего Proxifier, ничего подозрительного.
В это время ClipBanker тихо прописывается в системе и начинает следить за буфером обмена. Как только человек копирует адрес криптокошелька, троянец его подменяет, и перевод уходит мошенникам.
Эксперт по кибербезопасности «Лаборатории Касперского» Олег Купреев сказал, что даже крупные и давно известные платформы не гарантируют чистоты кода. Злоумышленники давно освоили схему с подменой популярных установщиков, и таких случаев становится больше.
Олег Купреев посоветовал проверять источники загрузки и пользоваться защитными решениями с независимыми проверками.
