CryptoShuffler: троян, тихо наворовавший биткойнов на $140 000

Троян CryptoShuffler изо всех сил старается не привлекать внимания и ворует биткойны потихоньку, в фоновом режиме.

Троян Razy по-тихому устанавливает вредоносные расширения для браузеров Chrome, Firefox и Яндекс и использует их для кражи криптовалюты

Представьте, в один прекрасный день вы решаете заплатить биткойнами, скажем, за пиццу. Копируете адрес кошелька с сайта пиццерии, вводите нужную сумму — и нажимаете кнопку «Отправить». И вот перевод ушел, но пицца все никак не приезжает. Владельцы пиццерии говорят, что перевод им не приходил. Что же случилось? Нет, дело не в том, что пиццерия вас кинула — во всем виноват троянец CryptoShuffler.

В отличие от какого-нибудь шифровальщика-вымогателя этот троян обходится без спецэффектов — он вообще изо всех сил старается не привлекать внимания. Троян тихонько сидит в памяти и наблюдает за всем, что попадает в буфер обмена — ту штуку, через которую происходит копирование и вставка данных при Ctrl+C и Ctrl+V.

Как только CryptoShuffler замечает, что в буфер обмена попал адрес криптовалютного кошелька — а по характерным признакам вроде длины строки или символов в начале их довольно легко отличить от других данных — он аккуратно заменяет его на другой. В итоге криптовалютный перевод действительно уходит, и именно на ту сумму, которую вводил пользователь, — просто приходит он не владельцам пиццерии, а злоумышленникам, создавшим CryptoShuffler.

Изучив троян, эксперты из «Лаборатории Касперского» выяснили, что зловред охотится за Bitcoin, Ethereum, Zcash, Dash, Dogecoin (да, и такие тоже бывают) и другими криптовалютами. Успешнее всего оказались подмены Биткойн-кошельков — на момент публикации злоумышленники «заработали» чуть больше 23 биткойнов, или около $140 000 по нынешнему курсу. В принадлежащих создателям CryptoShuffler кошельках других криптовалют нашлись суммы от нескольких десятков до нескольких тысяч долларов.

Чтобы собрать такое количество денег, троянцу понадобилось чуть больше года — пик его активности пришелся на конец 2016 года, затем последовал спад, но в июне CryptoShuffler вновь пробудился.

Этот троянец — наглядный пример того, что зараженный компьютер или смартфон не обязательно будет тормозить и выводить сообщения с требованиями выкупа. Многие зловреды, наоборот, стараются не выделяться и работать как можно более скрытно: чем дольше их не найдут, тем больше денег они успеют заработать своим создателям.

Так что советуем всем тем, кто пользуется криптовалютами, не только не терять бдительность, но и установить надежную защиту. Наши продукты обнаруживают CryptoShuffler, определяют его как Trojan-Banker.Win32.CryptoShuffler.gen и, разумеется, блокируют его действия.

Предварительные результаты внутреннего расследования инцидентов, якобы произошедших по данным американских СМИ (пост обновлен)

В октябре 2017 года мы начали тщательную проверку логов телеметрии , чтобы расследовать заявления СМИ об инцидентах, предположительно произошедших в 2015 году. Ниже представлены предварительные результаты этой проверки.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.