Специалисты компании «Доктор Веб» нашли несколько неофициальных сборок программного обеспечения Windows со встроенным вирусом Trojan.Clipper.23
По данным аналитиков, новый вирус может переводить криптовалюту из кошелька пользователя на счет злоумышленников. «Троян» меняет адреса криптокошельков в буфере обмена на адреса мошенников, поэтому пользователь ошибочно переводит деньги на их кошельки. По оценкам, хакеры уже смогли украсть около $19 000.
Специалисты компании нашли программу на компьютере одного из своих клиентов. Также там оказалось два других «трояна» — Trojan.MulDrop22.7578 и Trojan.Inject4.57873, которые нужны для активации буфера. Вирус попал на компьютер, когда пользователь скачал вирусную сборку Windows с торрент-трекера.
Всего специалисты нашли пять вредоносных сборок: Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso, Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso, Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso, Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso, Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso.
Как происходит кража денег
Сперва вредоносная программа запускается через планировщик задач и создает новый диск, монтируя новый EFI-раздел и внедряя остальные компоненты ПО. После этого вирус внедряется в систему, а установочные файлы удаляются.
Trojan.Clipper.231 отслеживает содержимое буфера обмена и меняет скопированные адреса кошельков на адреса злоумышленника. Однако здесь есть несколько ограничений. Во-первых, для подмены нужен системный файл, а во-вторых — вирус мониторит активные сделки. Если он обнаруживает опасные для себя приложения, то подмена адресов криптокошельков не производится.
Заражение через ChatGPT
Ранее злоумышленники нашли новый способ кражи денег: они создают веб-сайты, через которые распространяют вирусы под видом десктопной версии чат-бота ChatGPT для Windows и Android. Мошенники даже создали фейковые страницы в социальных сетях и набрали по несколько тысяч подписчиков.
Вирусы распространяются через веб-сайт chatgpt-go[.]online. Вместо чат-бота пользователи скачивают софт, который крадет данные из буфера обмена. Также злоумышленники воруют данные кредитных карт через openai-pc-pro[.]online под видом подписки на чат-бота.
