«Биткоин-генератор» не создает криптовалюту, но может от нее избавить

На протяжении как минимум двух последних недель неизвестные злоумышленники наводняют видеохостинг YouTube роликами, рекламирующими некий «биткоин-генератор». Он преподносится как инструмент, якобы помогающий пользователям легко и быстро генерировать криптовалюту. В первом комментарии под роликом содержится ссылка на его загрузку. Она ведет на страницу, предлагающую загрузить файл Setup.exe.

В случае загрузки на компьютеры действительно устанавливается некий инструмент. Однако служит он скорее тому, чтобы избавить доверчивых пользователей от криптовалюты. Речь идет о троянской программе Qulab - она передает организаторам атаки в зашифрованном виде историю браузеров пользователей, сохраненные файлы cookies, пароли и т.д. Кроме того, Qulab похищает информацию из буфера обмена Windows и подменяет ее. Общеизвестно, что адреса криптовалютных кошельков представляют собой длинные последовательности символов, запомнить которые практически невозможно. По этой причине, совершая транзакции, пользователи обычно копируют адреса в буфер обмена с тем, чтобы вставить при совершении платежа. Qulab подменяет эти адреса на адреса кошельков, принадлежащих злоумышленникам – и заметить подмену бывает чрезвычайно непросто.

Первым атаку обнаружил исследователь проблем кибербезопасности под ником Frost. По его словам, он оповещает администрацию YouTube о каждом случае появления роликов, рекламирующих «биткоин-генератор», и ролики исправно удаляются, а разместившие их пользователи блокируются. Но это никак не останавливает организаторов атаки, которые просто создают все новые аккаунты.

Источник: Bleeping Computer