Группа специалистов по безопасности Microsoft 365 сообщила о росте активности вредоносных программ и методов нового типа под названием Cryware, позволяющих воровать активы с горячих криптокошельков.
С помощью Сryware, говорится в отчете исследовательской группы, злоумышленники производят поиск криптовалютного программного обеспечения на атакуемых устройствах, а также собирают и извлекают критически важные данные для доступа к горячим криптовалютным кошелькам будущей жертвы.
Для поиска данных горячего кошелька, такие как закрытые ключи, исходные фразы и адреса, злоумышленники могут использовать паттерны, включающие типичные выражения, слова или набор символов, учитывая, что они обычно соответствуют определенному шаблону.
В 2021 году пользователь Reddit опубликовал сообщение о том, что потерял эфира на сумму $78 000 из-за того, что хранил исходную фразу своего кошелька в небезопасном месте. Злоумышленник, получил доступ к устройству цели и установил программу Сryware, которая обнаружила конфиденциальные данные.
Получив доступ к данным горячего кошелька, злоумышленники способны использовать его для быстрого перевода криптовалюты на свои собственные кошельки. К сожалению для бывших владельцев этих активов, такая кража необратима: транзакции в блокчейне являются окончательными, даже если они были совершены без согласия или ведома пользователя. Кроме того, в отличие от большинства прочих финансовых транзакций, пока не существует доступных механизмов, которые могли бы помочь отменить мошеннические переводы криптовалюты или защитить пользователей от таковых.
Возможные сценарии атаки Сryware:
Отсечение и переключение
Программа Сryware отслеживает содержимое буфера обмена пользователя и использует шаблоны поиска строк для поиска и идентификации строки, напоминающей адрес горячего криптовалютного кошелька. Если пользователь вставляет или использует CTRL + V в окне приложения, то Cryware заменяет объект в буфере обмена адресом злоумышленника.
Извлечение данных из дампа памяти
Злоумышленники исследуют дамп памяти, который в ряде случаев может отображать закрытые ключи в виде открытого текста. Критически важная информация может остаться в памяти процесса браузера, выполняющего эти действия, а сценарий позволит злоумышленнику выгрузить процесс браузера и получить закрытый ключ.
Кража файлов кошелька
Самый простой, но не менее эффективный способ украсть данные горячего кошелька — это атаковать файлы хранилища приложения. В этом сценарии злоумышленник просматривает файловую систему целевого пользователя, определяет, какие приложения кошелька установлены, а затем извлекает для взлома заранее определенный список файлов. ·
- Файлы браузерного веб-кошелька.
Поскольку некоторые горячие кошельки устанавливаются как расширения браузеров, с использованием уникальных идентификаторов и расширений, злоумышленник может достаточно просто локализовать хранилище веб-кошелька, где содержится зашифрованный закрытый ключ пользователя. ·
- Файлы десктопного кошелька.
Часть горячих кошельков устанавливают непосредственно на компьютерное устройство пользователя. Однако закрытые ключи, также, как и в браузерной версии, хранятся локально в файлах хранилища приложений, специфичных для каждого кошелька. ·
- Пароли кошелька.
Замечено, что некоторые пользователи не утруждают себя запоминанием паролей и хранят их, исходные фразы и закрытые ключи не только в приложениях для управления паролями, но даже в виде данных автозаполнения браузеров. Злоумышленники могут достаточно просто войти на зараженное устройство, чтобы обнаружить менеджеры паролей, установленные локально. Или эксфильтровать данные браузера, которые потенциально могут содержать сохраненные пароли.
Кейлоггинг
Еще одна популярная и широко применяемая техника для кражи информации— кейлоггинг. Как и другие вредоносные программы, использующие этот метод, программа для кейлогинга обычно работает в фоновом режиме и регистрирует нажатия клавиш, вводимые пользователем. Затем она отправляет собранные данные на C2-сервер, контролируемый злоумышленниками.
Меры превентивной защиты от Сryware
Специалисты по безопасности Microsoft предлагают владельцам криптовалютных активов предпринять следующие шаги для защиты конфиденциальной информации от воздействия криминального ПО Сryware:
Источник - Bits.media