Výskumníci spoločnosti Kaspersky Lab objavili nový malvér, ktorý kradne úspory v kryptomenách z peňaženky používateľa tým, že v schránke zariadenia nahradí jeho adresu svojou vlastnou. Zločinci sa zameriavajú na populárne kryptomeny ako bitcoin, ethereum, zcash, dash, monero a ďalšie. A zdá sa, že sú pri love na bitcoinové peňaženky veľmi úspešní. Podľa zistení expertov sa kyberzločincom podarilo doteraz takto získať až 100-tisíc dolárov.  

Účty v kryptomenách sa stávajú čoraz atraktívnejším cieľom pre kybernetických zločincov vzhľadom na ich rastúcu popularitu vo svete. Výskumníci spoločnosti Kaspersky Lab nedávno zaznamenali vzostup minerov, čo sa dotklo tisícov počítačov a vygenerovalo stovky tisíc dolárov. No podarilo  sa im tiež zistiť, že kyber-kriminálníci začínajú používať menej pokročilé techniky a venujú tejto oblasti menej času a zdrojov. Podľa výskumu, zlodeji kryptomien znova ohrozujú úspory ich používateľov.

Výskumníci spoločnosti Kaspersky Lab objavili nový typ trojana tzv. CryptoShuffler, ktorý bol navrhnutý tak, aby zmenil adresy peňaženiek kryptomien používateľov v schránke infikovaného zariadenia. Únosy schránok sú už roky známe, spočívajú v presmerovaní používateľov na škodlivé webové stránky a zacieľujú sa na online platobné systémy. Avšak prípady, pri ktorých sa zneužíva adresa hostiteľa kryptomien, sú zatiaľ len zriedkavé.

U väčšiny kryptomien, ak chce používateľ uskutočniť prevod krypto-mincí na iného používateľa, musí poznať ID peňaženky príjemcu – ide o jedinečné viacmiestne číslo. CryptoShuffler zneužíva potrebu systému pracovať s týmito číslami.

Po inicializácii začne CryptoShuffler trojan monitorovať schránku zariadenia, ktorú používateľ využíva pri platbe. To zahŕňa kopírovanie čísiel peňaženky a ich vloženie do riadku „cieľová adresa“, ktorý sa v softvéri používa na vykonanie transakcie. Trojan nahradí peňaženku používateľa peňaženkou, ktorá je vlastnená tvorcom škodlivého softvéru. To znamená, že keď používateľ vloží identifikátor peňaženky do riadku s cieľovou adresou, prevedie svoje peniaze priamo na zločincov bez toho, aby to vôbec zaregistroval. Mnohociferné čísla a adresy peňaženiek v blockchaine sú obvykle veľmi ťažko zapamätateľné, a preto je pre bežného používateľa ťažké spozorovať neobvyklé vlastnosti v riadku transakcie.

Vďaka jednoduchosti vyhľadávania adresy peňaženky sa okamžite uskutoční výmena cieľa v schránke: väčšina krypto-peňaženiek má konštantnú pozíciu v transakčnej linke a vždy používa určitý počet znakov. Takto môžu útočníci ľahko vytvoriť jednoduché kódy, ktoré ich nahradia. Na základe výskumu, CryptoShuffler pracuje so širokou škálou najobľúbenejších kryptomien, ako je napr. bitcoin, ethereum, zcash, dash, monero a ďalšie.

Na základe zistení výskumníkov spoločnosti Kaspersky Lab zločinci stojaci za trojanom CryptoShuffler väčšinou uspeli v útokoch na bitcoinové peňaženky – doteraz sa im podarilo takto  odcudziť až 23 BTC, čo je takmer 100 000 USD. Celkové sumy v iných peňaženkách sa pohybujú od niekoľkých dolárov až do niekoľko tisíc dolárov.

Vyšetrovanie tiež odhalilo škodlivé aktivity ďalšieho trojana zameraného na kryptomenu monero pod názvom DiscordiaMiner, ktorý je navrhnutý tak, aby nahrával a spúšťal súbory zo vzdialeného servera. Podľa výskumu existujú niektoré výkonnostné podobnosti s trojanom NukeBot, ktorý bol objavený začiatkom tohto roka. Tak, ako v prípade NukeBot, zdrojové kódy tohto malvéru boli zdieľané na nelegálnych hackerských fórach.

V tejto súvislosti sa odporúča používateľom nainštalovať robustné bezpečnostné riešenia, ktoré poskytujú špecializované funkcie na ochranu finančných transakcií, ako je funkcia Safe Money od Kaspersky Lab. Táto funkcia vykonáva pravidelné  skenovanie zraniteľností, o ktorých je známe, že boli zneužívané počítačovými zločincami, neustále vyhľadáva špecializovaný malvér, stráži transakcie pred vniknutím pomocou technológie Protect Browser (chránený prehliadač) a špecificky chráni schránku, kde by mohli byť uložené citlivé údaje počas operácií typu copy/paste (kopírovať/prilepiť).

Produkty Kaspersky Lab úspešne odhalili a zablokovali malvéry s nasledujúcimi názvami:

  • Trojan-Banker.Win32.CryptoShuffler.gen
  • Win32.DiscordiaMiner

Viac informácií o novoobjavených trojanoch a mineroch nájdete v expertnom blogu na Securelist.com.

Nechajte nám správu