paint-brush
5 новых вредоносных методов кражи вашей криптовалюты (2024)к@obyte
441 чтения
441 чтения

5 новых вредоносных методов кражи вашей криптовалюты (2024)

к Obyte7m2024/08/22
Read on Terminal Reader

Слишком долго; Читать

«Лаборатория Касперского» обнаружила новую угрозу, нацеленную на криптовалютные кошельки. Вредоносное ПО было скрыто в пиратском программном обеспечении, доступном на торрентах и пиратских сайтах. Оно заменяет легитимные приложения-кошельки, такие как Exodus и Bitcoin-Qt, зараженными версиями. Киберпреступники, стоящие за этой схемой, используют поддельные, но легитимные на вид приложения.
featured image - 5 новых вредоносных методов кражи вашей криптовалюты (2024)
Obyte HackerNoon profile picture
0-item


Киберпреступники никогда не перестают изобретать, и их особенно привлекают криптовалюты. Возможно, вы весело исследуете Интернет, не подозревая, на сколько мин вы вот-вот наступите. Никогда не помешает быть осторожным и быть в курсе последних тенденций в области безопасности, когда речь идет о защите ваших криптовалютных средств.


Чтобы дать вам представление о том, насколько велик этот злой бизнес для злоумышленников, по словам Цепной анализ , около 24,2 млрд долларов было получено незаконными криптоадресами в 2023 году. Не будьте частью следующего числа! Давайте рассмотрим некоторые новые вредоносные методы, о которых вам следует знать в этом году, и как защитить себя от них.

Бэкдор в MacOS


Не очень хорошая идея загружать приложения с неофициальных сайтов, и это яркий пример того, почему. Компания по кибербезопасности «Лаборатория Касперского» обнаруженный Ранее в этом году появилась новая угроза, нацеленная на криптовалютные кошельки пользователей macOS, которая была скрыта в пиратском программном обеспечении, доступном на торрентах и пиратских сайтах.


Когда пользователи устанавливают эти, казалось бы, бесплатные программы, они неосознанно позволяют вредоносному ПО проникнуть на свои компьютеры. На первом этапе используется приложение под названием «Активатор», которое предлагает пользователям предоставить административный доступ. Это дает вредоносному ПО необходимые разрешения для установки и отключения нормальной работы пиратского ПО, заставляя пользователей думать, что им нужен этот Активатор для работы ПО.


Активатор приложения в бэкдор-вредоносной программе. Изображение от Kaspersky

После установки вредоносная программа связывается с удаленным сервером для загрузки дальнейших вредоносных инструкций. Эти инструкции помогают вредоносной программе создать бэкдор, предоставляя хакерам постоянный доступ к зараженному компьютеру. Основная цель этой вредоносной программы — кража криптовалюты. Она заменяет легитимные приложения-кошельки, такие как Exodus и Bitcoin-Qt, зараженными версиями.


Эти измененные приложения затем захватывают конфиденциальную информацию, такую как фразы восстановления и пароли кошельков, и отправляют ее хакерам — эффективно опустошая ваши криптосредства. Подозрительный установщик «Активатора» появился сразу после того, как вы получили «бесплатное» приложение? Не предоставляйте ему доступ и немедленно удалите его!


Vortax, Web3 Games и «Маркополо»


Кампания Vortax — это мошенническая вредоносная операция, нацеленная на пользователей криптовалюты, обнаруженная исследователями Recorded Future. Киберпреступники, стоящие за эта схема использовать поддельные, но легитимные приложения для заражения устройств Windows и macOS вредоносным ПО для кражи информации. Выдавая себя за программное обеспечение для виртуальных встреч под названием Vortax, приложение выглядит заслуживающим доверия благодаря веб-сайту, индексируемому поисковыми системами, блогу со статьями, созданными искусственным интеллектом, и аккаунтам в социальных сетях на таких платформах, как X, Telegram и Discord. Злоумышленник взаимодействует с потенциальными жертвами в обсуждениях на тему криптовалюты, предлагая им загрузить приложение Vortax под видом присоединения к виртуальной встрече.


После того, как пользователи следуют предоставленным инструкциям, они перенаправляются на ссылки для загрузки, которые устанавливают программное обеспечение Vortax. Однако вместо функционального приложения установочные файлы доставляют вредоносное ПО, такое как Rhadamanthys, Stealc или Atomic Stealer (AMOS). Приложение Vortax кажется нефункциональным из-за преднамеренных ошибок, в то время как в фоновом режиме вредоносное ПО начинает красть конфиденциальную информацию, включая пароли и начальные фразы. Дальнейшее расследование показало, что кампания Vortax связана с несколькими доменами, на которых размещены похожие вредоносные приложения и поддельные игры web3, что свидетельствует о хорошо организованной работе злоумышленника, идентифицированного как Markopolo.


Тактика Маркополо включает использование социальных сетей и платформ обмена сообщениями для распространения своего вредоносного ПО. также маскируется как бренды и игры, такие как VDeck, Mindspeak, ArgonGame, DustFighter и Astration. Эта стратегия не только расширяет их охват, но и увеличивает вероятность того, что пользователи будут обмануты и скачают вредоносное ПО. Изощренность и адаптивность кампании подразумевают, что будущие атаки могут стать еще более распространенными, подчеркивая необходимость для пользователей проявлять осторожность при загрузке стороннего ПО, особенно если они кажутся подозрительно настойчивыми в этом.


Pytoileur — ловушка для разработчиков Python


Исследователи Sonatype обнаружили новую угрозу, нацеленную на пользователей криптовалюты через вредоносный пакет Python под названием «pytoileur». Замаскированный под законный инструмент управления API, pytoileur обманывает пользователей, заставляя их загрузить его из Python Package Index (PyPI). После установки пакет тайно извлекает и устанавливает вредоносное программное обеспечение, предназначенное для кражи криптовалюты путем доступа к конфиденциальной информации, хранящейся на устройстве жертвы.


Вредоносный пакет был искусно спрятан в, казалось бы, невинном коде. Он загружал опасный исполняемый файл, который после запуска выполнял различные вредоносные действия. Они включали изменение системных настроек, поддержание присутствия на устройстве для избежания обнаружения и, что самое важное, попытку украсть криптовалюту из кошельков и учетных записей, связанных с популярными сервисами, такими как Binance , Coinbase и Crypto.com . Получая доступ к данным браузера и другим финансовым данным, вредоносная программа могла выкачивать цифровые активы без ведома жертвы.


Вредоносный пакет Pytoileur обнаружен Sonatype

Распространение pytoileur включало тактику социальной инженерии, включая использование таких общественных платформ, как Stack Overflow, чтобы заманить разработчиков на загрузку пакета под видом решения технических проблем. Этот инцидент является частью более широкой кампании «Cool package», что указывает на продолжающиеся усилия киберпреступников по атаке на пользователей криптовалюты с помощью сложных и развивающихся методов. Mend.io, другая фирма по безопасности, определил более 100 вредоносных пакетов в библиотеках PyPI.


Разработчики могут избегать вредоносных пакетов, загружая их из надежных источников, проверяя целостность пакетов и просматривая код перед использованием. Также помогает постоянное обновление рекомендаций по безопасности и использование автоматизированных средств безопасности.


P2PInfect, роящаяся угроза


P2Pinfect, обнаруженный Cado Security, — это сложная вредоносная программа, использующая одноранговую ботнет-сеть для управления. Другими словами, вредоносная программа определяет, принадлежит ли компьютер к сети, и заражает все подключенные устройства, чтобы напрямую взаимодействовать и контролировать друг друга, не полагаясь на центральный сервер. Первоначально казавшаяся бездействующей, ее обновленная форма теперь включает в себя возможности вымогательства и криптомайнинга.

При заражении , он в основном распространяется через уязвимости в Redis, популярной системе баз данных, позволяя вредоносному ПО выполнять произвольные команды и распространяться по подключенным системам. Функция ботнета обеспечивает быстрое распространение обновлений, поддерживая обширную сеть скомпрометированных устройств — например, в целой компании.


Жертвы обычно сталкиваются с P2Pinfect через небезопасные конфигурации Redis или через ограниченные попытки SSH (Secure Shell) управлять удаленными системами с помощью общих учетных данных. После активации в системе жертвы P2Pinfect устанавливает криптомайнер, нацеленный на криптовалюту Monero. Этот майнер активируется после короткой задержки и генерирует криптовалюту, используя ресурсы системы, скрытно перенаправляя доходы в кошелек злоумышленника и замедляя возможности устройства.


Заметка о вымогателе в P2PInfect. Изображение от Cado Security

Компонент программы-вымогателя шифрует (блокирует) файлы и требует криптоплату за их извлечение, хотя его эффективность ограничена из-за типичных разрешений зараженных серверов Redis. Кошелек Monero злоумышленника накопил около 71 XMR, что эквивалентно примерно 12 400 долларам США. Это иллюстрирует финансовый успех кампании, несмотря на потенциально ограниченное воздействие программы-вымогателя из-за типичных малоценных данных, хранящихся в Redis. Чтобы избежать этой вредоносной программы, не забывайте защищать конфигурации Redis и регулярно отслеживать необычную активность.


Поддельный AggrTrade и другие вредоносные расширения


Поддельное расширение AggrTrade Chrome, описанное фирмой безопасности SlowMist, было вредоносным инструментом, который обманом заставлял пользователей терять значительные суммы криптовалюты. Расширение маскировалось под законный торговый инструмент (AggrTrade), но было разработано только для кражи средств. Пользователи неосознанно устанавливали его, которое затем использовало их доступ к криптовалютным биржам и торговым платформам, перехватывая конфиденциальную информацию — пароли и учетные данные.


Расширение функционировал путем захвата файлов cookie и других данных сеанса, что позволяло ему имитировать входы пользователей и проводить несанкционированные транзакции. Это привело к краже в общей сложности около 1 миллиона долларов. Он распространялся с помощью обманных приемов через социальные сети и маркетинговое продвижение, которое заманивало жертв к загрузке и установке, часто из неофициальных или подозрительных источников.

Поддельное расширение AggrTrade до того, как оно было удалено. Изображение от SlowMist.

Эта конкретная угроза уже была устранена, но это лишь скудный пример среди многочисленных попыток. В настоящее время несколько других вредоносные расширения Chrome выдают себя за настоящие торговые сервисы, нацеленные на кражу криптовалюты. Чтобы защитить себя, устанавливайте расширения только из надежных источников, регулярно проверяйте разрешения и следите за своими аккаунтами на предмет необычной активности.


Также помните, что все расширения браузера могут отслеживать всю историю вашего просмотра, видеть, что вы делаете на каждом сайте, и красть файлы cookie и другие личные данные. Использование аппаратных или бумажных кошельков для значительных сумм и поддержание программного обеспечения безопасности в актуальном состоянии также может усилить вашу защиту от таких угроз.


Меры защиты


Для защиты от подобных вредоносных программ, крадущих криптографические данные, можно применить некоторые основные меры:


  • Установка из надежных источников: используйте расширения и программное обеспечение только из надежных источников и официальных сайтов. Проверьте отзывы и разрешения перед установкой.
  • Устанавливайте как можно меньше программного обеспечения: прежде чем устанавливать еще одно приложение или расширение браузера на свой настольный компьютер, подумайте еще раз, действительно ли оно вам нужно. Может быть, вы сможете достичь своих целей с существующим программным обеспечением? (Хотя это безопаснее на мобильных платформах, где каждое приложение находится в песочнице).
  • Регулярные проверки безопасности: часто проверяйте и удаляйте неиспользуемые расширения или программное обеспечение. Регулярно проверяйте необычную активность в ваших криптоаккаунтах (онлайн и офлайн) и системе.
  • Используйте строгую аутентификацию: включите двухфакторную аутентификацию (2FA) в своих учетных записях, чтобы добавить дополнительный уровень безопасности. Кошельки Obyte , вы можете сделать это, создав учетную запись для нескольких устройств в главном меню или установив пароль для расходов в настройках.



  • Используйте средства защиты от вредоносных программ: используйте современные антивирусные и антивредоносные средства для обнаружения и блокировки онлайн- и офлайн-угроз.
  • Защитите свою криптовалюту: храните значительные криптоактивы в аппаратных или бумажных кошельках, чтобы уменьшить подверженность онлайн-угрозам. С помощью кошелька Obyte вы можете легко создать свой собственный бумажный кошелек, генерируя текстовая монета (двенадцать случайных слов), запишите его, а затем удалите или заблокируйте само программное обеспечение до тех пор, пока вам не понадобится потратить средства.


Внутри Obyte и за его пределами убедитесь, что вы используете безопасные и проверенные кошельки, а также следуйте этим рекомендациям для защиты своих активов!



Избранное векторное изображение от Freepik