Пользователь Twitter и исследователь вредоносного ПО под ником Fumik0_ обнаружил новый веб-сайт, распространяющий вредоносное ПО для кражи криптовалют у пользователей.
Согласно отчету, хостом для передачи этих вирусов является веб-сайт, имитирующий известный веб-сайт Cryptohopper, веб-сайт, на котором пользователи могут создавать и программировать инструменты для автоматической торговли криптовалютой.
По полученной информации, при посещении мошеннического сайта он автоматически загружает на компьютер пользователя установщик setup.exe. Панель настройки также отображает логотип Cryptohopper для обмана пользователей.
При запуске установщика также устанавливается троян Vidar для кражи информации, он дополнительно устанавливает еще два трояна Qulab для майнинга и захвата буфера обмена. Клиппер и майнеры затем развертываются раз в минуту, чтобы непрерывно собирать данные пользователя.
Сам троян Vidar для кражи информации попытается собрать пользовательские данные, такие как файлы cookie браузера, историю браузера, информацию об оплате браузера, сохраненные учетные данные для входа в систему и кошельки криптовалюты. Информация периодически компилируется и отправляется на удаленный сервер, после чего компиляция удаляется.
Угонщик буфера обмена Qulab попытается подставить свои собственные адреса в буфер обмена, когда обнаружит, что пользователь скопировал строку, похожую на адрес кошелька. Это позволяет криптовалютным транзакциям, инициированным пользователем, вместо этого перенаправляться на адрес злоумышленника.
У этого угонщика есть адресные замены для практически всех крупных криптовалют.
По сообщениям, один кошелек, связанный с хакерами уже получил 33 BTC, или $258 335 во время печати, через процедуру замещения адреса.
Напомним,, ранее мы писали, что хакеры «White Hat» заработали за последние два месяца $32 000.
