Подмена биткоин (bitcoin) адреса в буфере обмена (Bitcoin Stealer)
История будет полезна всем криптоэнтузиастам, и я прошу поделитесь ей как можно шире, чтобы другие участники сообщества не потеряли свои bitcoins. Разместите ссылку в соцсетях, группах Viber, WhatsApp и Telegram. Отправвьте в личку тем, кто занимается криптовалютами.
Ниже моя недавняя история про то, как я расстался с 0,15 BTC в пользу мошенника.
Как выяснял, что произошло.
Что сделал для того, чтобы такого больше не повторилось.
Вы ведь не хотите, чтобы у вас уплыли ваши биткоины?
ТОГДА обязательно читайте дальше.
Пишу по свежим следам. Дело было 28 сентября. Как вы знаете, курс битка просел в сентябре ниже $3000 на некоторых биржах. Я битки не продавал, накапливал. 28 сентября курс немного отрос до $4176, а у меня подкопились некоторые платежи, поэтому решил, как обычно, поменять в обменнике. Операция рутинная, 100 раз менял, а может 1000. т.к. давно с электронными платежами дружу (акк webmoney с 2005 года).
На www.bestchange.ru нашел обменник. Направление обмена выбрал BTC->ADVcash. Такое направление выбрал потому, что немного выгоднее.
Заполнил заявку. Всё как обычно.
Смотрите скриншоты.
Кошелек, на который нужно сделать перевод, видите выше. Дальше самое интересное. Не переключайтесь.
Выделяю кошелек. Копирую. Нужно заметить, что у меня стоит программа для работы с буфером и можно точно отследить, какая информация и когда попадала туда.
Это подтверждает, что я скопировал верный адрес.
Затем вставил его из буфера в поле кошелька BTC Core, чтобы сделать перевод.
Дальше я стал ждать подтверждений. Нужно было 2 подтверждения для принятия платежа.
Чтобы отслеживать подтверждения, я перешел на blockchain.info. Скопировал из транзакции кошелька адрес на который сделал перевод. Вставил на blockchain.info и сижу спокойно жду. ))
https://blockchain.info/address/1CVD7KjsjprQrTdLRcv7tSVBDiXC23z1wi
Когда 2 подтверждения случилось, я смотрю на заявку, а статус на "Оплачено" в обменнике не меняется.
Пишу в поддержку и только тут до меня начинает доходить.
Я писал уже, что давно с электронными платежами работаю. Всякое было. Опытный. Обычно проверяю номера на которые перевожу. Запоминаю первые и последние 2 символа, чтобы не ошибиться.
ТОЛЬКО НЕ В ЭТОТ РАЗ!
Вы поняли в чем фокус?
Это так называемый Bitcoin Stealer. Программа, которую вы сами запускаете, т.к. она замаскирована разными способами. Затем она прописывается в скрытую загрузку и висит в процессах под названием, которое похоже на полезную программу. Делает она ровно одно, когда вы копируете биткоин адрес она сразу его подменяет в буфере обмена (clipboard) на адрес злоумышленника. Стиллеры были когда-то популярны на замену WebMoney и Yandex кошельков в 2007-2012 году. Потом как-то схлынула мода, а сейчас на волне хайпа крипты опять стали делать инсталлы с этим гуано.
Внимание! Это сейчас только набирает обороты и возможно я спас вас от потери крупной суммы биткоинов! Будьте внимательны, вень транзакцию не отменить, т.к. это блокчейн!
Нужна помощь! Возможно вы знаете, как отследить транзакции и вычислить IP злоумышленника? Ведь на его кошелек почти каждый день поступают биткоины от обманутых им людей.
Мы вместе можем это остановить!
Расследование.
В первый день после инцидента я был обескуражен, зол на себя за такое головотяпство, ведь наученный.)) Поэтому на второй день только взялся за расследование откуда прилетело.
Конечно, пришлось искать в интернет, читать, смотреть. Только информации катастрофически мало.
Для убивания всяких троянов пользуюсь Advanced SystemCare. Первое что сделал прогнал его. Потом антивирус Нортоновский. Процессы все перпесмотрел. Ничего.
Скачал Security Task Manager, чтобы просканировать процессы. Тоже ничего.
Тогда решил просто блокировать подозрительные, перрезагружать комп и смотреть исчезнет или нет замена.
Это принесло результат и я его нашел.
Смотрите где эта программа скрывалась.
Маскировалась под системный процесс svchost.exe только изменило название на svhcost.exe. В списке процессов была под названием "Java x86 fpplicate".
Попала на компьютер предположительно через установщик игры, скачанной с торрента. Обычно размещают под видом DirectX или vcredist_x64/x86. Но могут и любым другим именем обозвать. Предположительно потому, что когда я кликнул 2 раза мышкой на файл svhcost.exe, чтобы проверить он исчез. Скорее всего была встроена функция удаления минуя корзину в случае запуска пользователем.
Чтобы история не повторилась я установил Spy Protector, который выводит окно, если какой то процесс пытается прописаться в автозагрузку. В этом окне вы либо разрешаете, либо нет этому процессу прописаться. Всё под контролем теперь.
Надеюсь вы попали на эти страницу не после того, как пострадали от мошенника, а ознакомились и приняли соответствующие меры.
★ Если считаете статью полезной, поддержите автора, ему этот опыт дорого обошелся ★
✦ Я занимаюсь разработкой, интеграцией и внедрением бонусных программ лояльности, как у М.Видео, Спортмастер и пр., для небольших компаний. Внедряю их в системы автоматизации 1С, R-Keeper, сайты http://welc.club/brand/brigadir, мобильные приложения https://play.google.com/store/apps/details?id=com.DaskO. Мне очень нужны заказы в связи с недавней потерей 0,15 BTC. Если у вас есть те, кому нужна программа лояльности, МАЯКНИТЕ на [email protected].
✦ Поддержите! Оставьте GOGLOS и поделитесь в соцсетях>>>
✦ PayPal ➲ paypal.me/mastershihov
✦ WebMoney WMR ➲ R526784286974
✦ WebMoney WMZ ➲ Z815312692255
✦ Счет QiWi ➲ +79148713633
✦ Яндекс.Деньги ➲ 41001190965198
✦ Bitcoin ➲ 18S2okfoKQtuy6BmyJjv2EkC7emGyyCxuQ
P.S. История не закончена. Я нашел программера, кто предположительно изготовил эту программу. Взял курс по безопасности. Надеюсь выйти каким-то образом на злоумышленника и остановить его. Пока предупредил вас об опасности. Спасибо, что дочитали до конца. Буду благодарен любой помощи.
@webmillioner, спасибо, что предупредили. А у меня недавно тоже чуть с кошелька не сняли. Вовремя заметил неладное. Установил расширение для мозиллы Bitcoin Price Ticker, чтобы следить за курсом, а через него пытались взломали мой кошелек Blockchain.info. При этом, когда обнаружил, он (plug-in) ни в какую не удалялся!
@webmillioner, Поздравляю!
Ваш пост был упомянут в моем хит-параде в следующих категориях:
где можно скачать Spy Protector?
Он идет бесплатно к Security Task Manager
https://www.neuber.com/taskmanager/
Многовато. Ничего себе.
@webmillioner Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество голосов
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
Спасибо за предупреждение!!!
спасибо,что поделились. надо останавливать воров.
Спасибо за предупреждение.
Лучше вообще не качать программы с торрентов.
только глаз да глаз за всем...
Хороший опыт @webmillioner ) Репостнул, информация полезная.
Ваш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
alex2016, turkish-r, ruta, vika-teplo, anatolich, goracio, dim447
Поэтому я тоже проголосовал за него!
Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!
Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"
dobryj.kit теперь стал Делегатом! Ваш голос важен для всего сообщества!!!
Поддержите нас на странице https://golos.io/~witnesses, вот так:
Очень полезно, буду пользоваться, спасибо!
Большое спасибо всем, кто поддержал!
Вам был понятен и полезен материал?
@webmillioner Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за Количество комментариев
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
и что за программа для буфера ?
Clip Diary
http://clipdiary.com/rus/
Спасибо за предупреждение!
Пожалуйста! Лишь бы помогло))
Решил поинтересоваться - откуда у вас столько просмотров? Вы репостили данную запись куда-то?
Вроде немного просмотров. Меньше 1000 даже.
Это много для Голоса)) По данным Яндекс.метрики сегодня этот пост в лидерах по просмотрам.
Я друзей попросил чтобы репостнули.
@webmillioner Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Награда за количество полученных голосов
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп
Спасибо! Надеюсь, не пригодится, но держать в уме буду.
век живи, век учись
Набирает популярность эта гадость.
Насколько я знаю, в конце августа только эти программы наделали.
Сейчас везде пихать будут.