На протяжении как минимум двух последних недель неизвестные злоумышленники наводняют видеохостинг YouTube роликами, рекламирующими некий «биткоин-генератор». Он преподносится как инструмент, якобы помогающий пользователям легко и быстро генерировать криптовалюту. В первом комментарии под роликом содержится ссылка на его загрузку. Она ведет на страницу, предлагающую загрузить файл Setup.exe.
В случае загрузки на компьютеры действительно устанавливается некий инструмент. Однако служит он скорее тому, чтобы избавить доверчивых пользователей от криптовалюты. Речь идет о троянской программе Qulab - она передает организаторам атаки в зашифрованном виде историю браузеров пользователей, сохраненные файлы cookies, пароли и т.д. Кроме того, Qulab похищает информацию из буфера обмена Windows и подменяет ее. Общеизвестно, что адреса криптовалютных кошельков представляют собой длинные последовательности символов, запомнить которые практически невозможно. По этой причине, совершая транзакции, пользователи обычно копируют адреса в буфер обмена с тем, чтобы вставить при совершении платежа. Qulab подменяет эти адреса на адреса кошельков, принадлежащих злоумышленникам – и заметить подмену бывает чрезвычайно непросто.
Первым атаку обнаружил исследователь проблем кибербезопасности под ником Frost. По его словам, он оповещает администрацию YouTube о каждом случае появления роликов, рекламирующих «биткоин-генератор», и ролики исправно удаляются, а разместившие их пользователи блокируются. Но это никак не останавливает организаторов атаки, которые просто создают все новые аккаунты.
Источник: Bleeping Computer
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970