Nowa kampania Malware rozprzestrzenia trojany poprzez stronę internetową

Nowa kampania Malware rozprzestrzenia trojany poprzez stronę internetową

Uwaga na malware!

Zgodnie z raportem Bleeping Computer w dnia 5 czerwca Fumik0 użytkownik Twittera i badacz złośliwego oprogramowania, odkrył nową stronę internetową, która rozprzestrzenia szkodliwe oprogramowanie kryptowalut. Gospodarzem transmisji tych wirusów jest strona internetowa, która imituje stronę internetową Cryptohopper, na której użytkownicy mogą programować narzędzia do wykonywania automatycznego handlu kryptowalutami. Gdy odwiedzana jest fałszywa strona, automatycznie pobiera się instalator setup.exe, który infekuje komputer po uruchomieniu. Panel instalacyjny wyświetla również logo Cryptohopper w kolejnej próbie oszukania użytkownika. Uruchamianie instalatora opisuje jak zainstalować trojana do kradzieży informacji, który dodatkowo instaluje dwa trojany Qulab i Vidar. Trojany następnie rozmieszczane są raz na minutę w celu ciągłego gromadzenia danych. Trojan kradnący informacje Vidar sam spróbuje zeskanować dane użytkownika, takie jak pliki cookie przeglądarki, historię przeglądarki, informacje o płatnościach przeglądarki, zapisane dane logowania i portfele kryptowaluty. Informacje są okresowo kompilowane i wysyłane do zdalnego serwera, po czym kompilacja jest usuwana. 

Trojan Qulab będzie próbował zastąpić własne adresy w schowku, gdy rozpozna, że użytkownik skopiował ciąg wyglądający jak adres portfela. Umożliwia to przekierowanie transakcji kryptowalut zainicjowanych przez użytkownika na adres atakującego. Trojan ten ma zastępcze adresy dostępne dla ethereum (ETH), bitcoin (BTC), bitcoin cash (BCH), dogecoin (DOGE), dash (DASH), litecoin (LTC), zcash (ZEC), bitcoin gold (BTG), xrp i qtum. W maju bieżącego roku odkryto kampanię kryptograficzną opartą na YouTube, która wabiła ofiary obietnicą darmowego generatora BTC. Po uruchomieniu przez użytkowników rzekomego generatora BTC, który był automatycznie pobierany przez odwiedzanie powiązanej strony internetowej, instalowany był trojan Qulab. Trojan ten próbował kraść informacje o użytkowniku oraz uruchamiał kopiowanie schowka dla adresów kryptograficznych.

Źródło tekstu: Cointelegraph

Źródło zdjęcia: Coindesk