Как правило, любой владелец кошелька копирует длинный адрес в буфер обмена, а не вбивает его вручную, на этапе копии и происходит фишинговая подмена на реквизиты хакера. Платеж с зараженного компьютера уходит на счет злоумышленника.
Программа CryptoCurrency Clipboard Hijackers не проявляет признаков активности на компьютере, поэтому не обнаруживается многими антивирусами. От хакинга спасет только внимательная проверка копии адреса Получателя перед отправкой.
Вирус был обнаружен компанией BleepingComputer при анализе пакета malwar устанавливаемого при скачивании плеера All-Radio 4.27 Portable или KMS-активаторов. Хакеры используют эти трояны для активного заражения компьютера различными вредоносами криптонарпавленности, например, программами скрытого майнинга.
Фишинговая программа содержится в библиотеке d3dx11_31.dll подгруженной в Windows папку Temp. Файл запускается через автозагрузку, «шифруясь» под DirectX 11.
Хакеры создали «неудаляемый» malwar-вирус для скрытого майнинга и воровства секретных ключей