В последнее время 360 Центр безопасности обнаружил новый тип активно распространяющегося КриптоМайнера. Троян периодически отслеживает буфер обмена, чтобы определить, является ли контент в нем адресом криптовалюты, например Биткойн. Он изменяет целевой адрес на свой адрес, чтобы достичь цели кражи, когда пользователь платит за криптовалюту. Этот вид троянов был обнаружен более 300 тысяч раз за неделю. Мы назвали его «ClipboardWalletHijacker».

Анализ

Входная функция трояна — это загрузчик, регулярно контролирует контент буфера обмена.

Функция загрузчика буфера обмена:

Если он обнаруживает, что контент является адресом Ethereum, он заменяет адрес в буфере обмена.
Функция замены:

Адрес замены: 0x004D3416DA40338fAf9E772388A93fAF5059bFd5. Всего было сделано 46 записей.

Последняя успешная запись:

Если это не Ethereum,будет проверять, является ли он адресом биткойна, а номер адреса начинается с 1 или 3.

Если Если дата раньше, чем 8-й в текущий месяц, или в 8 текущего масяца, заменит адрес на 19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL. В противном случае использует 1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1 в качестве адреса.

Троян успешно заменил адрес биткойна на 1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1 пять раз.

Последняя успешная запись:

По последней рыночной цене 0,069 BTC примерно равно 500 долларов США.
Доходы от другого адреса:

Напоминание

В последнее время мы обнаружили, что многие трояны-Криптомайнеры активно распространяются . Мы настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью 360 Total Security, чтобы не стать жертвой КриптоМайнеров.