Výskumníci spoločnosti Kaspersky Lab objavili nový malvér, ktorý kradne úspory v kryptomenách z peňaženky používateľa tým, že v schránke zariadenia nahradí jeho adresu svojou vlastnou. Zločinci sa zameriavajú na populárne kryptomeny ako bitcoin, ethereum, zcash, dash, monero a ďalšie. A zdá sa, že sú pri love na bitcoinové peňaženky veľmi úspešní. Podľa zistení expertov sa kyberzločincom podarilo doteraz takto získať až 100-tisíc dolárov.
Účty v kryptomenách sa stávajú čoraz atraktívnejším cieľom pre kybernetických zločincov vzhľadom na ich rastúcu popularitu vo svete. Výskumníci spoločnosti Kaspersky Lab nedávno zaznamenali vzostup minerov, čo sa dotklo tisícov počítačov a vygenerovalo stovky tisíc dolárov. No podarilo sa im tiež zistiť, že kyber-kriminálníci začínajú používať menej pokročilé techniky a venujú tejto oblasti menej času a zdrojov. Podľa výskumu, zlodeji kryptomien – ktorých počet sa od roku 2014 neustále zvyšuje, znova ohrozujú úspory ich používateľov.
„Kryptomeny už dávno nie sú technológiou budúcnosti. Postupne prenikajú do nášho každodenného života a aktívne sa šíria po celom svete. Sú dostupnejšie nielen pre používateľov, ale stávajú sa obľúbeným terčom pre kyberzločincov. V poslednej dobe sme zaznamenali nárast malvérových útokov zameraných na rôzne typy kryptomien a očakávame, že tento trend bude pokračovať. Používatelia, ktorí v súčasnosti uvažujú o investíciách do kryptomien, preto musia myslieť na to, aby si zabezpečili dostatočnú ochranu“, hovorí Sergej Yunakovsky, malvérový analytik v spoločnosti Kaspersky Lab.
Výskumníci spoločnosti Kaspersky Lab objavili nový typ trojana tzv. CryptoShuffler, ktorý bol navrhnutý tak, aby zmenil adresy peňaženiek kryptomien používateľov v schránke infikovaného zariadenia. Únosy schránok sú už roky známe, spočívajú v presmerovaní používateľov na škodlivé webové stránky a zacieľujú sa na online platobné systémy. Avšak prípady, pri ktorých sa zneužíva adresa hostiteľa kryptomien, sú zatiaľ len zriedkavé.
U väčšiny kryptomien, ak chce používateľ uskutočniť prevod krypto-mincí na iného používateľa, musí poznať ID peňaženky príjemcu – ide o jedinečné viacmiestne číslo. CryptoShuffler zneužíva potrebu systému pracovať s týmito číslami.
Po inicializácii začne CryptoShuffler trojan monitorovať schránku zariadenia, ktorú používateľ využíva pri platbe. To zahŕňa kopírovanie čísiel peňaženky a ich vloženie do riadku „cieľová adresa", ktorý sa v softvéri používa na vykonanie transakcie. Trojan nahradí peňaženku používateľa peňaženkou, ktorá je vlastnená tvorcom škodlivého softvéru. To znamená, že keď používateľ vloží identifikátor peňaženky do riadku s cieľovou adresou, prevedie svoje peniaze priamo na zločincov bez toho, aby to vôbec zaregistroval. Mnohociferné čísla a adresy peňaženiek v blockchaine sú obvykle veľmi ťažko zapamätateľné, a preto je pre bežného používateľa ťažké spozorovať neobvyklé vlastnosti v riadku transakcie.
Vďaka jednoduchosti vyhľadávania adresy peňaženky sa okamžite uskutoční výmena cieľa v schránke: väčšina krypto-peňaženiek má konštantnú pozíciu v transakčnej linke a vždy používa určitý počet znakov. Takto môžu útočníci ľahko vytvoriť jednoduché kódy, ktoré ich nahradia. Na základe výskumu, CryptoShuffler pracuje so širokou škálou najobľúbenejších kryptomien, ako je napr. bitcoin, ethereum, zcash, dash, monero a ďalšie.
Na základe zistení výskumníkov spoločnosti Kaspersky Lab zločinci stojaci za trojanom CryptoShuffler väčšinou uspeli v útokoch na bitcoinové peňaženky – doteraz sa im podarilo takto odcudziť až 23 BTC, čo je takmer 100 000 USD. Celkové sumy v iných peňaženkách sa pohybujú od niekoľkých dolárov až do niekoľko tisíc dolárov.
Vyšetrovanie tiež odhalilo škodlivé aktivity ďalšieho trojana zameraného na kryptomenu monero pod názvom DiscordiaMiner, ktorý je navrhnutý tak, aby nahrával a spúšťal súbory zo vzdialeného servera. Podľa výskumu existujú niektoré výkonnostné podobnosti s trojanom NukeBot, ktorý bol objavený začiatkom tohto roka. Tak, ako v prípade NukeBot, zdrojové kódy tohto malvéru boli zdieľané na nelegálnych hackerských fórach.
Brániť sa používateľom pomáhajú napríklad robustné bezpečnostné riešenia, ktoré poskytujú špecializované funkcie na ochranu finančných transakcií, ako je funkcia Safe Money, jedno z popredných riešení spoločnosti Kaspersky Lab. Produkty Kaspersky Lab úspešne odhalili a zablokovali malvéry s nasledujúcimi názvami:
- Trojan-Banker.Win32.CryptoShuffler.gen
- Trojan.Win32.DiscordiaMiner