CryptoShuffler: троян, тихо наворовавший биткойнов на $140 000

Угрозы

Представьте, в один прекрасный день вы решаете заплатить биткойнами, скажем, за пиццу. Копируете адрес кошелька с сайта пиццерии, вводите нужную сумму — и нажимаете кнопку «Отправить». И вот перевод ушел, но пицца все никак не приезжает. Владельцы пиццерии говорят, что перевод им не приходил. Что же случилось? Нет, дело не в том, что пиццерия вас кинула — во всем виноват троянец CryptoShuffler.

В отличие от какого-нибудь шифровальщика-вымогателя этот троян обходится без спецэффектов — он вообще изо всех сил старается не привлекать внимания. Троян тихонько сидит в памяти и наблюдает за всем, что попадает в буфер обмена — ту штуку, через которую происходит копирование и вставка данных при Ctrl+C и Ctrl+V.

Как только CryptoShuffler замечает, что в буфер обмена попал адрес криптовалютного кошелька — а по характерным признакам вроде длины строки или символов в начале их довольно легко отличить от других данных — он аккуратно заменяет его на другой. В итоге криптовалютный перевод действительно уходит, и именно на ту сумму, которую вводил пользователь, — просто приходит он не владельцам пиццерии, а злоумышленникам, создавшим CryptoShuffler.

Изучив троян, эксперты из «Лаборатории Касперского» выяснили, что зловред охотится за Bitcoin, Ethereum, Zcash, Dash, Dogecoin (да, и такие тоже бывают) и другими криптовалютами. Успешнее всего оказались подмены Биткойн-кошельков — на момент публикации злоумышленники «заработали» чуть больше 23 биткойнов, или около $140 000 по нынешнему курсу. В принадлежащих создателям CryptoShuffler кошельках других криптовалют нашлись суммы от нескольких десятков до нескольких тысяч долларов.

Чтобы собрать такое количество денег, троянцу понадобилось чуть больше года — пик его активности пришелся на конец 2016 года, затем последовал спад, но в июне CryptoShuffler вновь пробудился.

Этот троянец — наглядный пример того, что зараженный компьютер или смартфон не обязательно будет тормозить и выводить сообщения с требованиями выкупа. Многие зловреды, наоборот, стараются не выделяться и работать как можно более скрытно: чем дольше их не найдут, тем больше денег они успеют заработать своим создателям.

Так что советуем всем тем, кто пользуется криптовалютами, не только не терять бдительность, но и установить надежную защиту. Наши продукты обнаруживают CryptoShuffler, определяют его как Trojan-Banker.Win32.CryptoShuffler.gen и, разумеется, блокируют его действия.