sha1:
- 96bf2f07c785f6889799458f0609293ccb005634 (svc_host.exe)
Описание
Вредоносная программа, написанная на языке C++ и предназначенная для кражи криптовалюты у пользователей компьютеров под управлением ОС Microsoft Windows. Она подменяет адреса криптокошельков, копируемых в буфер обмена, на адреса криптокошельков злоумышленников.
Принцип действия
Trojan.Clipper.808 устанавливается в целевые системы, в том числе вредоносным приложением Trojan.Packed2.49862, хранящим стилера в своем теле. Известны следующие внутренние имена файла Trojan.Clipper.808:
- Smoking_clipper.exe
- moreaddeasy.exe
- AdminControl.exe
Trojan.Clipper.808 в качестве полезной нагрузки в теле Trojan.Packed2.49862
После запуска Trojan.Clipper.808 копирует себя в %APPDATA%\systemservices\svc_host.exe и устанавливает этот файл в автозагрузку. Для этого создается ключ реестра Software\\Microsoft\\Windows\\CurrentVersion\\Run с именем SystemServicesHost.
Настройка автозагрузки для троянского файла
В процессе работы Trojan.Clipper.808 отслеживает буфер обмена и подменяет копируемые в него адреса криптокошельков адресами кошельков киберпреступников.
Некоторые модификации Trojan.Clipper.808 используют технику SSPI UAC Bypass для повышения своих привилегий в системе, а также имеют функциональность для распространения по локальной сети.
Логирование действий
Trojan.Clipper.808 информирует злоумышленников о результатах своей работы, отправляя сообщения в бот Telegram через Telegram API. Сообщения отправляются:
- при установке в систему с отправкой данных о зараженном компьютере (имя устройства, имя пользователя, версия операционной системы);
- при подмене адресов криптокошельков (адрес исходного кошелька и подставного);
- при успешном повышении привилегий;
- при успешном копировании файла трояна по сети.
