Підміна буфера обміну

6 травня 2023 1минута

Шкідливий вірус: підміна Bitcoin адрес

Буфер обміну – це частина оперативної пам’яті стаціонарного комп’ютера або ноутбука, а також телефона або планшета (Android, iOS). У цей розділ тимчасово зберігається те, що ми копіюємо. Інформацію, яка в ньому знаходиться, користувачеві не видно. Усе нове завжди добре забуте старе, багато хто, напевно, пам’ятає, коли мільйони $ були вкрадені з WM гаманців за допомогою підміни буфера обміну, коли WM була основною системою розрахунків. Зараз же багато хто юзає криптовалюти, і гаманці у них набагато довші, це +. Ви коли-небудь помічали, як після копіювання BTC адреси, у форму відправлення вставлялася адреса, що трохи відрізняється від початкової? Будьте обережні, оскільки це явно свідчить про те, що ваш пристрій заражений Троянським вірусом. Цей вірус був ідентифікований фахівцями Symantec і отримав назву Trojan.Coinbitclip. Ця шкідлива програма перехоплює вміст буфера обміну, замінюючи кілька цифр у скопійованих адресах гаманців.

Троянський вірус приводиться в дію під час копіювання певного набору чисел, схожих з Bitcoin адресою. Вірус використовує призначену для користувача базу даних, що складається з численних сторонніх Bitcoin адрес, на які миттєво замінюються скопійовані адреси, щойно програма розпізнає їх. Щоб перевірити наявність вірусу, скопіюйте і вставте текст або набір цифр, що відрізняється від формату BTC адреси. Якщо копіювання пройде успішно, але під час повторення тієї самої процедури вставлена BTC адреса відрізнятиметься від скопійованої, це може означати тільки одне – ваш пристрій заражений Троянським вірусом. Якщо ви вже відправили кошти на невірну Bitcoin адресу, на жаль, це неможливо виправити, оскільки транзакції такого роду незворотні.

Як написати вірус

Необхідно знайти і запустити WinHex (посилання дати не можу, прога гагулиться дуже легко, вбиваєте назву, отримуєте софт), відкриваємо buf.exe, гортаємо код (до куди? зверніть увагу на повзунок) і знаходимо список криптокошів, вони розділені пропуском.

ВАЖЛИВО! Не запускайте для тестів цей ехе на віртуалці, якщо у вас налаштований загальний буфер обміну, заразиться і хост машина!!! 

Порядок кошиків BTC, LTC, PPC, NMC, DSH, ETH. Змінюємо всі коші на свої. Вписали, перевірили ще раз? Тикаємо зберегти, і можна закривати WinHex. Вірус готовий! Тепер потрібно закриптувати ехе, благо на хак форумах купа крипторів і сервісів, криптується цей звір легко.

Варіанти прогрузу

1. Найдорожчий

Купити, добути трафік. Взяти в оренду зв’язку сплоїтів, і вантажити ехе. (для кого це все незрозумілі слова гугл на допомогу)

2. Спам провантаження

Наприклад така тема. Дістаємо базу мил з якогось шопа, тим самим скулідампером (що це, гугліть, про нього статей море). Качаємо, встановлюємо Hiasm, цей софт допомагає написати програму, не маючи навичок програмування. Створюємо простеньку фейк софтинку з логотипом магазину, з якого злили базу, у самій програмі робимо тупо різні пропозиції зі знижками і тп. Клеїмо наш ехе з фейк прогою, джойнером (його теж знайдете в архіві). І спамимо всіх клієнтів шопа.

Типу “Здрастуйте! Раді представити Вам нашу нову програму, завантаживши яку ви отримаєте хороші знижки в нашому шопі” Розписуєте все красиво, з картинками і тп. Таким же чином можна створювати будь-які фейк проги, клеїти їх з ехе і поширювати спамом куди завгодно!

Створюємо кліппер

Припустимо, що на твій пк закинутий кліппер. Наприклад, тобі потрібно оплатити якусь послугу або провести транзакцію. Ти копіюєш номер гаманця (не важливо, що це: крипта, яд, webmoney, qiwi), після того, як ти скопіюєш номер гаманця, кліппер зробить підміну скопійованого гаманця на гаманець творця. Гроші полетіли в невідомому напрямку і що-небудь кому-небудь довести практично неможливо. ПРОФІТ!

Практика

Встановлення Python

Переходимо за посиланням https://www.python.org/. Завантажуємо останню версію і встановлюємо її.

Написання коду

Імпортуємо модулі, які нам потрібні:

Оголошуємо змінні

Основна частина коду

Компілюємо в exe, щоб згодувати наш код жертві

Скористаємося програмою PyInstaller. Її можна встановити завдяки команді, яку нам потрібно ввести в CMD: pip install pyinstaller. Ось аргументи Pyinstaller’a, які ми будемо використовувати:

  1.  -F, збере всі файли в один exe файл .

  2. -w, відключить консоль.

  3. -i ***шлях до іконки***, аргумент, який підключить до програми іконку.

Фінальна команда для CMD: pyinstaller -F -w -i ***шлях до іконки*** ***шлях до файлу .py***.

Також можна в інтернеті знайти вихідні коди скриптів, які додадуть цей вірус у StartUp, приховуватимуть від Диспетчера Завдань.

Found an error?
If you find an error, take a screenshot and send it to the bot.