Вредоносное ПО на сайте Download.com

Вредоносная программа срабатывает, когда пользователь копирует и вставляет адрес своего биткоин-кошелька, чтобы перевести туда средства. Она перехватывает в буфере обмена адрес кошелька пользователя и заменяет собственным – жестко закодированным адресом биткоин-кошелька атакующих. Если пользователь не заметит подмену, его средства будут переведены на счет злоумышленников. На сегодняшний день атакующие собрали 8,8 биткоина – больше 4 млн рублей по курсу на 15 марта.

Эксперты ESET обнаружили на Download.com три троянизированных приложения, содержащих вредоносный код для кражи биткоинов:

-Win32 Disk Imager – утилита для создания копий USB-флэш-носителей и SD-карт, размещалась на CNET с 2 мая 2016 г., была загружена 311 раз в течение последней недели и больше 4500 раз в общей сложности;

-Code::Blocks – популярная кроссплатформенная среда разработки (IDE) на базе открытого исходного кода, ее используют многие C/C++ разработчики;

-MinGW-w64 – компилятор, программный порт GNU Compiler Collection для Microsoft Windows.

По мнению специалистов ESET, вредоносный код в этих приложениях – работа одного и того же автора. Зараженные приложения удалены с Download.com после предупреждения ESET. В качестве меры защиты от подмены содержимого буфера обмена эксперты рекомендуют двойную проверку адреса кошелька при совершении транзакции.