به گزارش اقتصادآنلاین به نقل از رمزارزنیوز، این بدافزار در سایت سورسفورج (SourceForge) و در قالب پروژهای جعلی به نام پکیج آفیس (officepackage) منتشر شده است.
این بسته شامل افزونههای واقعی آفیس است، اما بدافزار کلیپبنکر آدرس کیفپول رمزارزی که کاربر کپی کرده را با آدرس هکر جایگزین میکند.
از آنجا که کاربران معمولاً آدرسها را کپی میکنند نه تایپ، این روش بسیار مؤثر است.
طبق گزارش شرکت امنیتی کسپرسکی (Kaspersky) در تاریخ ۸ آوریل، این بدافزار پس از نصب، اطلاعات دستگاه قربانی مانند آدرس IP، کشور و نام کاربری را از طریق پیامرسان تلگرام برای هکرها ارسال میکند.
همچنین سیستم را برای وجود آنتیویروس یا نصب قبلی بررسی کرده و در صورت لزوم، خود را از آنتیویروس حذف میکند تا شناسایی نشود.
قابل توجه است که برخی فایلهای موجود در این بسته بسیار کوچکاند که نشاندهنده جعلی بودن آنهاست، چرا که فایلهای اصلی آفیس حتی در حالت فشرده نیز به این میزان کوچک نیستند. در برخی موارد نیز، فایلها با دادههای بیارزش پر شدهاند تا واقعی بهنظر برسند.
کاسپراساکی هشدار داده که هدف اصلی این حمله، سرقت رمزارز از طریق نصب کلیپبنکر و ماینر است. هکرها همچنین میتوانند دسترسی به این سیستمها را به دیگر مهاجمان بفروشند.
رابط کاربری بدافزار به زبان روسی است و طبق آمار، ۹۰ درصد قربانیان آن در روسیه هستند. قابل توجه است که از ابتدای ژانویه تا پایان مارس، ۴,۶۰۴ کاربر در روسیه با این بدافزار مواجه شدهاند.
برای جلوگیری از چنین حملاتی، کاسپرسکی توصیه کرده کاربران فقط از منابع معتبر نرمافزار دانلود و از برنامههای کرکشده بپرهیزند. زیرا این روش قدیمی اما همچنان خطرناک، راهی برای توزیع بدافزارهاست.
