Nyhet från Palo Alto Networks

Skadlig programvara stjäl kryptovaluta.

IT-säkerhetsföretaget Palo Alto Networks har upptäckt en skadlig programvara som stjäl användares kryptovaluta. Programvaran ComboJack lurar användare att föra över pengar till de som ligger bakom attacken. Ett spammejl med en bifogad pdf-fil är startpunkten på attackerna.

Attacken stjäl alltså kryptovaluta som Bitcoin och Etherum. Stölden sker när användare ska flytta pengar till sin egen onlineplånbok. ComboJack ersätter då kontonumret med ett nummer som kontrolleras av de som utför attacken. Pengarna hamnar därför i stället hos brottslingarna.

Förra året var CryptoShuffler det första malware som använde en liknande taktik. Då var det enbart Bitcoin som stals, men ComboJack kan stjäla en rad ytterligare kryptovalutor, som Litecoin, Monero och Ethereum.

Attacken upptäcktes första gången mot slutet av februari i år av Palo Alto Networks säkerhetsteam Unit 42. Falska mejl skickades då till japanska och amerikanska mottagare. I mejlen hävdades det att ett pass tappats bort och att den bifogade pdf-filen innehöll en scannad kopia av dokumentet. Men pdf-filen sätter i stället igång en process som leder till att den skadliga programvaran laddas ner till användarens dator.

När ComboJack finns på en användares dator undersöker den urklippsfilen två gånger per sekund. Om en användare kopierat information om kontonumret till en elektronisk plånbok reagerar ComboJack och ersätter numret med sina egna uppgifter. Eftersom dessa nummer ofta är långa och komplicerade kommer de flesta användare inte reagera på förändringen.

ComboJack fungerar förutom för en rad olika kryptovalutor även några andra digitala betalningssystem som WebMoney och Yandex Money.

Palo Alto Networks WildFire-kunder är skyddade mot den skadliga programvaran eftersom den identifieras och blockeras av systemet så att den inte laddas ner.