Новая спам-кампания направлена на хищение криптовалюты


SpamНовая спам кампания, обнаруженная специалистами Cyren, направлена на клиентов банков. В ходе данной кампании злоумышленниками рассылаются фальшивые письма якобы от имени крупных банков, таких как Emirates NBD и DBS Bank. Письма распространяются под видом уведомлений о сетевых платежах с прикрепленным вложением. Именно это вложение и содержит вредоносное ПО, выполняющее функции кейлоггера и способное похищать криптовалюту из кошельков жертв.

Письма рассылаются ботами из США и Сингапура. Для усыпления бдительности пользователей во вложениях указываются коды SWIFT, используемые для идентификации банков и финансовых институтов для перевода денежных средств.

 

На первый взгляд прилагаемые файлы выглядят как документы формата PDF. В действительности они являются исполняемыми файлами. При запуске такого файла, он удаляет себя и создает новый с названием filename.vbs в автозагрузке. В свою очередь, уже этот файл, устанавливает кейлоггер, который записывает не только нажатия клавиш, но и движения мыши.

Вредонос собирает пароли и другую конфиденциальную информацию, в том числе из браузеров, FTP и почтовых клиентов (пароли, логины, историю посещения, файлы cookie и т.д.). Также программа проводит проверку на предмет криптокошельков. В случае их обнаружения - похищает содержимое. Помимо биткойнов, вредонос может красть и другие криптовалюты, в том числе:

  • Anoncoin;
  • BBQcoin;
  • Bytecoin;
  • Craftcoin;
  • Devcoin;
  • Digitalcoin;
  • Fastcoin;
  • Feathercoin;
  • Florincoin;
  • Freicoin;
  • I0coin;
  • Infinitecoin;
  • Ixcoin;
  • Junkcoin;
  • Litecoin;
  • Luckycoin;
  • Megacoin;
  • Mincoin;
  • Namecoin;
  • Phoenixcoin;
  • Primecoin;
  • Quarkcoin;
  • Tagcoin;
  • Terracoin;
  • Worldcoin;
  • Yacoin;
  • Zetacoin.

Обновлено (31.01.2017 16:10)