Вредонос HackBoss распространяется через Telegram и крадет криптовалюту

Команда Avast Threat Lab обнаружила новое вредоносное ПО для кражи криптовалюты – его назвали HackBoss. По данным исследования Avast, это простая, но эффективная вредоносная программа, распространяющаяся через Telegram-канал, который существует с ноября 2018 г. и имеет свыше 2500 подписчиков. В нем авторы публикуют рекламу приложений для проверки уязвимостей или взлома, но при загрузке люди получают вредонос HackBoss.

После установки HackBoss самостоятельно запускается и ищет адреса кошельков с криптовалютой, которые копируются в буфер обмена. Когда HackBoss обнаруживает адрес кошелька, он заменяет предполагаемый кошелек адресом кошелька авторов HackBoss – и перенаправляет деньги злоумышленникам. Вредоносная полезная нагрузка продолжает работать на компьютере жертвы даже после закрытия пользовательского интерфейса приложения. Если вредоносный процесс завершен – например, через диспетчер задач – он может снова запуститься после загрузки устройства или как задача, запланированная на следующую минуту.

HackBoss проверяет кошельки с криптовалютами Bitcoin, Ethereum, Dogecoin, Litecoin и Monero, при этом большинство из них в валюте Bitcoin. Анализ, проведенный Avast Threat Labs, показал, что жертвы HackBoss в основном находятся в Нигерии и США, и что авторы вредоносного ПО могли получить более полумиллиона долларов в виде перенаправленных криптовалют (хотя частично эта сумма может включать прибыль от продаж поддельного ПО).

Эксперты Avast предостерегают:

• Всегда будьте внимательны и осторожны при работе с криптовалютами;
• Перепроверяйте адрес кошелька, на который вы отправляете свои средства;
• Используйте двухфакторную аутентификацию для доступа к цифровым кошелькам;
• Установите антивирус на все устройства: он защитит не только от вредоносных программ, таких как HackBoss, но и от более сложных угроз.