Admin
Администратор
Исследователи кибербезопасности обнаружили новый вредонос для Linux под названием ClipXDaemon.
Программа незаметно перехватывает содержимое буфера обмена и подменяет адреса криптовалютных кошельков во время транзакций.
Вредонос распространяется через зашифрованный загрузчик на базе bincrypter. После выполнения загрузчика в системе появляется дополнительный модуль-дроппер, который устанавливает программу ClipXDaemon в пользовательском каталоге. Программа автоматически запускается при каждом входе пользователя в систему и сохраняет постоянное присутствие после перезагрузки. ClipXDaemon проверяет содержимое буфера обмена и ищет шаблоны адресов криптовалютных кошельков. Если в буфере появляется адрес кошелька, программа мгновенно заменяет его на адрес злоумышленников. Эксперты рекомендуют ограничивать запуск программ из пользовательских каталогов и использовать системы EDR с поведенческим анализом для Linux.