«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
15 марта 2018 16593

Похититель биткоинов. Мошенники встроили вредоносный код в лицензионное ПО

Специалисты ESET обнаружили три зараженных приложения в каталоге программного обеспечения Download.com, одном из наиболее популярных сайтов в мире (163-е место в рейтинге Alexa). Вредоносный код, распространяющийся вместе с легитимными программами, предназначен для кражи биткоинов. Программа «срабатывает», когда пользователь копирует и вставляет адрес своего биткоин-кошелька, чтобы перевести туда средства.

Одной из жертв малвари стал пользователь Reddit с ником Crawsh, но в его случае история закончилась хорошо. Crawsh заподозрил неладное, когда пытался скопировать и вставить адрес своего кошелька Monero, чтобы перевести туда средства, и неожиданно увидел сообщение, что адрес недействителен. Он решил разобраться, что могло стать причиной ошибки, и выяснил, что проблема во вредоносном ПО. Малварь перехватывала в буфере обмена адрес кошелька пользователя и заменяла собственным – жестко закодированным адресом биткоин-кошелька. 

К счастью для Crawsh, адрес атакующих был предназначен для транзакций биткоинов. Целевое приложение отклонило Monero до того, как пользователь перевел средства. В отличие от других жертв, работавших с биткоинами, – их переводы были выполнены без сбоев. На сегодняшний день злоумышленники собрали 8,8 ВТС – около 4 млн рублей по курсу на 15 марта.

Эксперты ESET обнаружили на Download.com три троянизированных приложения, содержащих вредоносный код для кражи биткоинов:
  • Win32 Disk Imager – утилита для создания копий USB-флэшек и SD-карт, размещалась на CNET с 2 мая 2016 года, была загружена 311 раз в течение последней недели и больше 4500 раз в общей сложности

  • Code::Blocks – популярная кроссплатформенная среда разработки (Integrated Development Environment) на базе открытого исходного кода, ее используют многие C/C++ разработчики

  • MinGW-w64 – компилятор, программный порт GNU Compiler Collection для Microsoft Windows
По мнению специалистов ESET, вредоносный код в этих приложениях – работа одного и того же автора. Зараженные приложения удалены с Download.com после предупреждения ESET.

Антивирусные продукты ESET детектируют вредоносный код в составе легитимных приложений. Эффективная мера защиты от подмены содержимого буфера обмена – двойная проверка адреса кошелька при совершении транзакции.

Полную (и более драматичную) версию истории читайте в нашем блоге на Хабре.

Комментарии

10
Оставьте комментарий!
Алексей Малков 23 марта 2018 в 15:35 #
В рассылке говорилось: "Специалисты ESET встроили вредоносный код для кражи криптовалюты в лицензионное ПО." Я так за вас порадовался! 6
А если серьёзно, инфа несомненно интересная, но вычитку стоит делать внимательнее. 14
А нам, пользователям, остаётся надежда только на ESET! Раз уж в легитимных каталогах ПО такое происходит.
Антон Тарасов 23 марта 2018 в 20:40 #
Не велите казнить! Очепятались, хуже не придумаешь 2

Спасибо, что не даете расслабиться!
Нет худа без добра! Зато эту статью прочитали ВСЕ! Хотел бы я посмотреть на того, кто не кликнул бы по
Антон Тарасов 24 марта 2018 в 13:35 #

Да, уж! «Сенсационная» подводка получилась 5

Мы сейчас готовим статью про скрытые майнеры, там понадобится громкий заголовок, чтобы все знали, как от них защититься 7

Николай Ткаченко 26 марта 2018 в 08:10 #
Точно сенсационная новость))) получилась))) как в желтой прессе!
Антон Тарасов 27 марта 2018 в 12:20 #
Желтая пресса и без нас справляется, постараемся больше без таких "сенсаций" обходиться 5
Владимир Щебетун 23 марта 2018 в 16:29 #
ребята, вы как так умудрились в рассылке написать: "Специалисты ESET встроили вредоносный код для кражи криптовалюты в лицензионное ПО." - это я скопировал из письма. Мне даже стало интересно, куда же вы встроили вредоносное ПО, а оказалось - это не вы 0
Антон Тарасов 23 марта 2018 в 20:42 #
Репетируем шутки к 1 апреля 5 

Если серьезно, досадная опечатка вышла. Впредь будем внимательнее!
Виталий Пестов 24 марта 2018 в 07:20 #
Специалисты ESET встроили вредоносный код для кражи криптовалюты в лицензионное ПО.....

Пора бы уже рассылку то поправить, а то получается оговорочка по Фрейду какая-то ;-))
Антон Тарасов 24 марта 2018 в 11:43 #
В этом случае фарш обратно уже не провернуть 20

К сожалению, опечатки иногда случаются. В этот раз особенно курьезная получилась. Будем внимательнеее!