Эксперты сервиса ESET обратили внимание на участившиеся случаи активности троянской программы Mekotio, которая теперь атакует криптовалютные кошельки. Ранее троян атаковал банковские реквизиты жертв.
Принцип работы вредоноса банален: попадая на устройство жертвы, программа начинает мониторить посещаемые из браузера веб-ресурсы.
Когда пользователь зараженного устройство обращается к банковскому сервису или приложению, в поля которого необходимо вводить реквизиты, троян подсовывает жертве поддельное окно для авторизации. Пользователь вводит свои персональные данные, которые благополучно отправляются на контролируемый злоумышленниками удаленный сервер.
Эксперты предостерегают владельцев криптовалют: Mekotio может заменять адреса кошельков, на которых хранятся цифровые монеты пользователей. Когда пользователь копирует в буфер обмена номер кошелька, на который желает перевести криптовалюту, троян меняет эти цифро-буквенные адреса на свои.
В итоге жертва сама отправляет токены злоумышленникам, ничего не подозревая о случившейся на устройстве атаке.
Как распространяется вредоносное ПО? Специалисты ESET считают, что троян попадает на устройства посредством социальной инженерии, методы которой используют хакеры для атак. Самые распространенные средства - фишинговые письма, которые якобы присылаются от известных компаний, государственных учреждений и пр.
В сообщении замаскирована вредоносная ссылка, нажав на которую жертва инициирует скачивание зип-архива с трояном. Уточняется, что для запуска Mekotio нужно разархивировать и установить полученный архив.
Эксперты рекомендуют не скачивать вложения, полученные от подозрительных лиц или организаций, регулярно обновлять ПО, не переходить по ссылкам.