Вредоносная программа «срабатывает», когда пользователь копирует и вставляет адрес своего биткоин-кошелька, чтобы перевести туда средства. Малварь перехватывает в буфере обмена адрес кошелька пользователя и заменяет собственным — жестко закодированным адресом биткоин-кошелька атакующих.
Если пользователь не заметит подмену, его средства будут переведены на счет злоумышленников. На сегодняшний день атакующие собрали 8,8 биткоина — больше 4 млн рублей по курсу на 15 марта.
Эксперты Eset обнаружили на Download.com три троянизированных приложения, содержащих вредоносный код для кражи биткоинов:
- Win32 Disk Imager — утилита для создания копий USB-флэшек и SD-карт, размещалась на CNET с 2 мая 2016 года, была загружена 311 раз в течение последней недели и больше 4500 раз в общей сложности
- Code::Blocks — популярная кроссплатформенная среда разработки (Integrated Development Environment) на базе открытого исходного кода, ее используют многие C/C++ разработчики
- MinGW-w64 – компилятор, программный порт GNU Compiler Collection для Microsoft Windows
По мнению специалистов Eset, вредоносный код в этих приложениях — работа одного и того же автора. Зараженные приложения удалены с Download.com после предупреждения Eset.