Trwa polowanie na kryptowaluty

Przeczytaj także: Trojan OSX/CoinThief kradnie Bitcoiny

Popularność kryptowaluty rośnie, a wraz z nią w górę pnie się liczba związanych z nią incydentów cyberprzestępczych. Specjaliści Kaspersky Lab informowali już o rosnącej ilości koparek kryptowalut, które zdołały się już rozprzestrzenić na tysiące komputerów i wygenerować setki tysięcy dolarów zysku. Eksperci odnotowali również, że atakujący stawiają raczej na mniej zaawansowane techniki, nie poświęcają tej dziedzinie ani zbyt dużo czasu ani też zasobów. Niemniej, programy czyhające na kryptowaluty znowu burzą spokój użytkowników.

Niedawno badacze z Kaspersky Lab wykryli nowego trojana CryptoShuffler, którego działanie polega na zmianie adresu portfela z kryptowalutą użytkownika w schowku zainfekowanego urządzenia. Od lat znane są ataki polegające na przechwytywaniu schowka, w których użytkownicy są przekierowywani na szkodliwe strony internetowe, a celem są systemy płatności online. Jednak przypadki dotyczące adresu portfela kryptowaluty są rzadkie.

W przypadku większości kryptowalut, jeśli użytkownik chce przelać kryptomonety innemu użytkownikowi, musi znać ID portfela odbiorcy — unikatowy numer wielocyfrowy. Oto w jaki sposób CryptoShuffler wykorzystuje konieczność obsługi tych liczb przez system. Po uruchomieniu trojan zaczyna monitorować schowek urządzenia, który jest wykorzystywany przez użytkowników podczas dokonywania płatności. Obejmuje to kopiowanie numerów portfeli i wklejanie ich do wiersza „adresu docelowego” oprogramowania, które jest wykorzystywane do przeprowadzenia transakcji. Trojan podmienia portfel użytkownika na portfel będący własnością twórcy szkodliwego oprogramowania, co oznacza, że gdy użytkownik wklei ID portfela w wierszu adresu docelowego, nie będzie on adresem, na który pierwotnie zamierzał wysłać pieniądze. W rezultacie ofiara przeleje swoje pieniądze bezpośrednio cyberprzestępcom, chyba że będzie na tyle czujna, aby zauważyć nagłą podmianę.

To ostatnie nie zdarza się często, ponieważ liczby wielocyfrowe oraz adresy portfeli w łańcuchu bloków zwykle są bardzo trudne do zapamiętania. Dlatego niełatwo jest określić jakiekolwiek cechy szczególne w wierszu transakcji, nawet jeśli użytkownik ma go przed oczami.

Podmiana adresu docelowego w schowku odbywa się natychmiast dzięki temu, że szukanie adresów portfeli jest prostym procesem: większość portfeli kryptowaluty posiada stałą pozycję w wierszu transakcji i zawsze wykorzystuje określoną liczbę znaków. Tym samym osoby atakujące mogą bez trudu tworzyć zwykłe kody, aby dokonać podmiany. Z badania wynika, że CryptoShuffler działa z wieloma najpopularniejszymi kryptowalutami, takimi jak bitcoin, ethereum, zcash, dash czy monero.

Jak dotąd, na podstawie obserwacji badaczy z Kaspersky Lab można stwierdzić, że przestępcy stojący za trojanem CryptoShuffler w większości odnieśli sukces w atakach na portfele z bitcoinami — zdołali ukraść 23 BTC, co stanowi równowartość blisko 140 000 dolarów. Łączne kwoty w innych portfelach wynoszą od kilku do kilku tysięcy dolarów.

Kryptowaluta nie stanowi już odległej technologii. Przenika do naszego życia codziennego i aktywnie rozpowszechnia się na całym świecie, stając się bardziej dostępną dla użytkowników oraz bardziej kuszącą dla przestępców. Ostatnio zaobserwowaliśmy wzrost liczby ataków przy użyciu szkodliwego oprogramowania, których celem były różne rodzaje kryptowaluty, i spodziewamy się, że tendencja ta utrzyma się. Dlatego użytkownicy rozważający zainwestowanie w kryptowalutę muszą zadbać o odpowiednią ochronę — powiedział Sergiej Junakowski, analityk szkodliwego oprogramowania, Kaspersky Lab.

Eksperci znaleźli również innego trojana, którego celem jest kryptowaluta monero. Jest to DiscordiaMiner, który instaluje i uruchamia pliki ze zdalnego serwera. Z badania wynika, że szkodnik ten wykazuje pewne podobieństwa w zakresie działania z trojanem NukeBot, który został wykryty wcześniej tego roku. Tak jak w przypadku NukeBota, kody źródłowe trojana zostały udostępnione na forach hakerskich.

Eksperci z Kaspersky Lab zalecają użytkownikom zainstalowanie niezawodnych rozwiązań bezpieczeństwa, które zapewniają wyspecjalizowane funkcje w zakresie ochrony transakcji finansowych, takie jak moduł „Bezpieczne pieniądze” we flagowych rozwiązaniach Kaspersky Lab. W celu zwiększenia skuteczności ochrony funkcja ta skanuje system w poszukiwaniu luk w zabezpieczeniach, o których wiadomo, że zostały wykorzystane przez cyberprzestępców, nieustannie sprawdza obecność wyspecjalizowanego szkodliwego oprogramowania, zabezpiecza transakcje przed ingerencją przy pomocy, a w także chroni schowek, w którym mogą być przechowywane poufne dane podczas operacji kopiowania/wklejania.

Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują omawiane szkodliwe oprogramowanie pod następującymi nazwami:

• Trojan-Banker.Win32.CryptoShuffler.gen,
• Trojan.Win32.DiscordiaMiner.