Pesquisadores de segurança alertaram recentemente para o novo malware ComboJack. Este malware é capaz de detectar quando o usuário copia o endereço de uma criptomoeda para a área de transferência do Windows e o substitui por outro de propriedade do seu criador.
Ele é similar aos malwares Evrial e CryptoShuffler, mas o ComboJack suporta diversas criptomoedas e não apenas Bitcoin.
Pesquisadores alertam para o novo malware ComboJack
O malware ComboJack pode chegar por email contendo um arquivo anexo que supostamente seria a imagem de um passaporte perdido. O arquivo anexo está no formato PDF.
Se o usuário abrir este PDF, ele por sua vez abrirá um arquivo RTF contendo um objeto HTA incorporado que tenta explorar a vulnerabilidade no DirectX identificada como CVE-2017-8579.
Se a exploração for bem sucedida, o objeto HTA presente no arquivo RTF executará uma série de comandos do PowerShell visando baixar e executar um arquivo SFX (self-extracting executable).
O arquivo SFX baixado após a execução dos comandos também faz o download e executa outro arquivo SFX, mas protegido por senha, que finalmente instala o malware ComboJack.
O malware é executado sempre que o Windows é inicializado e verifica a área de transferência do sistema operacional a cada meio segundo em busca de conteúdo.
Quando o usuário copia uma string que combina com um padrão conhecido para uma determinada criptomoeda ou sistema de pagamento, o ComboJack substitui o endereço na área de transferência por outro retirado de sua própria lista.
Artigo original:
www.baboo.com.br