Malware je navržen tak, aby v clipboardu zařízení měnil adresy kryptoměnových peněženek uživatelů na účty podvodníků.
Odborníci Kaspersky Lab odhalili nový malware, který krade kybernetické měny z peněženek uživatelů. Dokáže totiž jejich adresu v zařízení přepsat na svoji vlastní. Kyberzločinci se zaměřují především na oblíbené kryptoměny jako jsou Bitcoin, Ethereum, Zcash, Dash, Monero a další. Zatím se jim podařilo uspět hlavně v bitcoinových peněženkách, v nichž ukradli dohromady téměř 140 000 dolarů.
Vzhledem k tomu, že kryptoměny zažívají celosvětový boom, se z nich stávají lákavé cíle pro kyberzločince. Již dříve byl zaznamenán nárůst minerů, které napadly tisíce počítačů a útočníkům vygenerovaly kryptoměny za stovky tisíc dolarů.
Experti Kaspersky Lab nyní objevili nového trojského koně CryptoShuffler, který je navržen tak, aby v clipboardu zařízení měnil adresy kryptoměnových peněženek uživatelů. Pokud chce uživatel převést kryptoměnu na účet jiného uživatele, musí znát ID příjemcovy peněženky. Toto ID je tvořeno unikátním mnohočíselným kódem. CryptoShuffler právě zneužívá zacházení systému s těmito čísly.
Po svém spuštění začne trojan CryptoShuffler v zařízení sledovat clipboard, který uživatelé používají při platbách. V softwaru provádějícím transakce se zaměřuje především na kopírování čísel peněženek, které následně vkládá do řádku „adresa příjemce“. Trojan tak nahrazuje uživatelovu peněženku jinou, která patří tvůrci malwaru. Výsledkem tak je, že uživatel pošle peníze přímo do peněženky zločince. Pouze ve výjimečných případech si pozorný uživatel všimne této náhlé změny čísla. To se ale nestává často, protože je obvykle velmi složité si zapamatovat mnohomístná čísla a adresy blockchainových peněženek.
Jak uvádí analýza Kaspersky Lab, přepsání adresy příjemce v clipboardu proběhne okamžitě díky jednoduchosti, s jakou je možné číslo peněženky dohledat. Většina kryptografických peněženek totiž zaujímá konstantní polohu v rámci průběhu transakce a využívá podobné schéma číselného zápisu. To usnadňuje podvodníkům vytvořit kódy, kterými je nahradí. CryptoShuffer pracuje s širokou škálou nejoblíbenějších kryptoměn, jako jsou Bitcoin, Ethereum, Zcash, Dash nebo Monero.
Jiným trojským koněm, který odborníci odhalili, je DiscordiaMiner cílící na kryptoměnu Monero. Ten je navržen tak, aby nahrával a spouštěl soubory ze vzdáleného serveru. Analýza ukázala, že sdílí určité podobnosti s Trojanem NukeBot, který byl odhalen v průběhu tohoto roku. Stejně jako v případě NukeBot je zdrojový kód i tohoto trojského koně dostupný na nelegálních hackerských fórech.