На днях специалисты нашей Лаборатории анализа угроз обнаружили новое вредоносное ПО для кражи криптовалюты, которое назвали HackBoss. Это простая, но эффективная вредоносная программа, которая распространяется через telegram-канал Hack Boss.

Канал существует с ноября 2018 года, имеет более 2500 подписчиков, а в описании коротко описана его суть: «Лучшие программы для хакеров...». В нем авторы предлагают скачать различные приложения для взлома, но при загрузке потенциальные взломщики сами получают вредоносное ПО.

После установки HackBoss самостоятельно запускается и следит за адресами криптокошельков, которые копируются в буфер обмена. Когда HackBoss обнаруживает скопированный адрес кошелька, он заменяет его на кошелек авторов HackBoss. По замыслу авторов, жертва не заметит подмены, так как адреса криптовалютных кошельков — это длинный набор случайных символов.

Вредоносная программа продолжает работать на компьютере жертвы даже после закрытия пользовательского интерфейса приложения. Если вредоносный процесс завершен — например, через диспетчер задач — он может снова запуститься после перезагрузки или как запланированная задача.

Hack Boss может быть очень эффективным. Люди, которые работают с криптовалютой отправляют их через приложения или сервисы. Как только пользователь скопирует адрес кошелька получателя криптовалюты, это известит уже запущенный вредоносный процесс – и он, в свою очередь, изменит адрес кошелька на адрес злоумышленников. Менее внимательный пользователь может нажать на кнопку оплаты, не осознавая, что скопированный адрес кошелька за это время поменялся – и деньги уйдут мошенникам.

HackBoss способен опознавать кошельки с криптовалютами Bitcoin, Ethereum, Dogecoin, Litecoin и Monero. Анализ, проведенный нашими экспертами, показал, что жертвы HackBoss в основном находятся в США, Нигерии и России. 

Судя по поступлениям на кошелек злоумышленников, авторы вредоносного ПО могли получить более полумиллиона долларов (560451 долларов США или 42,5 млн рублей), хотя частично эта сумма может включать и другие доходы.

«От злоумышленника требуется совсем немного усилий для продвижения таких фейковых приложений, но выгода от этого может быть значительной. Именно это постоянно делают создатели HackBoss. Одноименный Telegram-канал — не единственное место, где продвигают свое вредоносное приложение. Они также ведут блог на сайте cranhan.blogspot [.] com, который содержит рекламу их приложений, владеют каналами YouTube с промо-видео и размещают рекламу на форумах и обсуждениях», — предупреждает Романа Тесаржова, исследователь вредоносных программ в Avast.

Мир криптовалют представляет особый интерес для злоумышленникав. С каждым скачком роста стоимости биткойнов все больше и больше людей вовлекаются в игру: продажу, добычу и обмен цифровыми активами. Но эта сфера привлекает как честных людей, так и киберпреступников. «Вредоносное ПО для кражи криптовалюты стало обычным явлением», — добавляет Романа.

Как защититься от кражи криптовалюты

• Всегда будьте внимательны и осторожны при работе с криптовалютами.

• Перепроверяйте адрес кошелька, на который вы отправляете свои средства.

• Используйте двухфакторную аутентификацию для доступа к цифровым кошелькам.

• Установите антивирус на все устройства: он защитит не только от вредоносных программ, таких как HackBoss, но и от более сложных угроз.

Больше информации о HackBoss можно найти в Avast Decode Blog.