PC Malware похищает средства, изменяя адреса Ethereum

16.10.2017

Ранее на этой неделе была опубликована статья на /r/Ethereum/, в которой сообщалось что есть вредоносное ПО, установленное на операционной системе Windows, данное ПО способно подменять адреса Эфириума при копировании и вставке.

Впервые изменение Биткойн-адресов вредоносными программами было зафиксировано в феврале 2016 года.

Крупная антивирусная компания Symantec впервые обнаружила троян под названием «Trojan.Coinbitclip» в феврале 2016 года, который автоматически определяет адрес Биткойн-кошелька и изменяет его. Распространяя троян с помощью фишинговых атак и обычных методов распространения вредоносных программ, хакеры смогли украсть Биткойны с кошельков пользователей ОС Windows, перенаправляя платежи на другие адреса Биткойн-кошельков.

«Trojan.Coinbitclip - это троянский конь, который заменяет адреса биткойнов, сохраненные в буфер обмена, на те, которые были установлены трояном.» - говорит Symantec

По словам Биткойн-журналиста Люка Паркера, вредоносное ПО, такое, как Trojan.Coinbitclip, хранило более 10 000 различных адресов, и использовало алгоритм, который подбирал наиболее похожие адреса, что существенно затрудняло обнаружение вредоносного ПО.

«Этот умный маленький захватчик несет с собой большой список биткойн-адресов и выбирает самое близкое совпадение при создании копии, что затрудняет обнаружение подмены адреса. В примере, который предоставил Symantec хранилось более 10 000 адресов. Конечным результатом является то, что копирование и вставка платежного адреса с легкостью обманывает вас, и вы отправляете монеты создателю вредоносного ПО.» - писал Паркер.

Подобные вредоносные программы, предназначенные для адресов Ethereum Wallet Emerge

Apneal, пользователь, который впервые обнаружил вредоносное ПО, которое подменяет адреса Эфириума. Он заявил, что вредоносная программа была обнаружена после того, как он уже сделал несколько транзакций. Apneal отправил небольшую транзакцию 0,01 эфира из обменника на личный адрес. Но заметил, что адрес личного кошелька, который Apneal указал при отправке, не получил входящую транзакцию, а это означало, что транзакция либо не транслировалась в сеть цепочки Ethereum, либо была установлена на другой адрес.

Сразу же после подтверждения того, что транзакция прошла успешно в Ethereum blockchain explorer Etherscan, Apneal продолжил проверку адреса Ethereum, который использовался для получения платежа. Но после проверки адреса, который использовался для получения платежа, Apneal обнаружил, что транзакция была отправлена на другой адрес кошелька.

«Скопировав адрес из MyEtherWallet, вставил его в блокнот. Адрес изменился. Может я не скопировал? Скопировал и вставил снова, тот же адрес. Может мой буфер обмена не очищается? Скопировал и вставил другой текст, работает, скопировал адрес, и вновь появился другой адрес. Что-то с MyEtherWallet? Открыл Firefox, перешел в кошелек скопировал-вставил, все прекрасно работает.» - писал Apneal

В таком случае как у Apnel’a, уже поздно устанавливать антивирус, чтобы удалить вредоносное ПО. Несколько пользователей посоветовали ему отключить все подключенные носители и переустановить ОС Windows.

Будьте внимательны при совершении транзакций, всегда проверяйте адреса и, конечно, не качайте сомнительное ПО с непроверенных источников, особенно если вы храните средства на своем компьютере.

А чтобы не пропустить новые статьи, подписывайтесь на наш Telegram канал.