Якщо при переказі коштів користувач скопіює адресу, попередньо її не перевіривши, криптовалюта буде переведена на гаманець зловмисників.

За останній рік криптовалюти набули величезну популярність, проте для здійснення транзакцій як і раніше використовуються довгі, складні для запам’ятовування адреси. Тому при переказі коштів більшість користувачів просто копіюють адресу одержувача з одного додатку і вставляють в інший.

Шкідливе ПЗ CryptoCurrency Clipboard Hijackers здатне здійснювати моніторинг буфера обміну Windows на предмет наявності адрес кріптовалютних гаманців і підміняти їх іншими, підконтрольними зловмисникам. Якщо при переказі коштів користувач просто скопіює адресу, попередньо її не перевіривши, криптовалюта буде переведена на гаманець операторів вірусу.

Здатне підміняти дані в буфері обміну шкідливе ПЗ не є чимось абсолютно новим. Проте, на відміну від інших подібних програм, які здійснюють моніторинг 400-600 тис. адрес, CryptoCurrency Clipboard Hijackers стежить за 2,3 млн. адрес, повідомляє Bleeping Computer.

Вірус був виявлений в поширюваному минулого тижня пакеті All-Radio 4.27 Portable. Після встановлення пакета в папку Windows Temp на зараженому комп’ютері завантажується DLL-бібліотека d3dx11_31.dll. Коли користувач авторизується в системі, бібліотека запускається за допомогою компонента Windows для автозапуску DirectX 11. Далі бібліотека виконується з використанням rundll32.exe і команди rundll32 C: \ Users \ [user-name] \ AppData \ Local \ Temp \ d3dx11_31.dll, includes_func_runnded .

CryptoCurrency Clipboard Hijackers працює у фоновому режимі непомітно для користувачів заражених комп’ютерів. Кращий спосіб убезпечити себе від вірусу – перевіряти кріптовалютні адреси, які ви копіюєте, і використовувати антивіруси.

У відео нижче представлений процес заміни адреси в буфері обміну Windows.