Настраиваете прокси, а деньги улетают хакерам. Так работает новый вирус, который обманул поиск Google

Пользователи, которые ищут в интернете инструмент для работы с прокси, рискуют вместо полезной программы получить троян для кражи криптовалюты. Вредоносное ПО маскируется под популярную утилиту и уже попало в верхние строки поисковой выдачи.

Специалисты «Лаборатории Касперского» обнаружили на платформе GitHub вредоносный проект, распространяющий троянец ClipBanker. Вредонос подменяет адреса криптокошельков в буфере обмена и таким образом перехватывает переводы. В зоне риска находятся пользователи из разных стран, включая Россию.

Атакующие выдают вредоносный файл за программу Proxifier, которую используют разработчики и системные администраторы для настройки сетевых соединений через прокси. Ссылка на заражённый репозиторий оказалась в числе первых результатов поиска, что повышает вероятность заражения.

Сценарий атаки построен на цепочке из нескольких этапов. В репозитории размещён архив с исполняемым файлом и текстовым документом. В документе находятся ключи активации, а сам исполняемый файл представляет собой вредоносную оболочку поверх настоящего установщика Proxifier. Пользователь запускает установку и видит обычное окно программы, не подозревая, что параллельно в системе запускается ClipBanker.

После установки троянец начинает работать незаметно. Когда пользователь копирует адрес криптокошелька, вредоносная программа подменяет его на адрес злоумышленников. В результате средства уходят не получателю, а атакующим.

В «Лаборатории Касперского» напоминают, что даже проверенные площадки не гарантируют безопасность файлов. Злоумышленники регулярно размещают поддельные версии популярных программ, поэтому скачивать софт стоит только из официальных источников и внимательно проверять содержимое репозиториев.