Bitcoin

Последен ъпдейт на 24 юли 2020 в 08:10 ч.

„Връщам на обществото. Ще удвоя Bitcoin-ите, които ми изпратите на адреса по-долу. Ако получа 1 000 USD, ще ви върна 2,000 USD. Предложението важи само 30 минути*.“ С подобна оферта излязоха вчера в Twitter имена като Бил Гейтс, Джеф Безос, Илън Мъск, Джо Байдън, Apple и други.

Първоначално се твърдеше, че профилите са хакнати. А всъщност, се оказва, че най-вероятно фалшивите постове са осъществени благодарение на неоторизиран достъп до вътрешен административен инструмент на социалната мрежа.

В дъното на пробива стои social engineering атака, става ясно от официалната позиция на Twitter. Според Vice, обаче, хакерите са успели буквално да убедят служител на Twitter да им съдейства срещу заплащане за „услугата“. Все още не е напълно ясно дали е имало неоторизиран външен достъп до услугите на Twitter или служителят на компанията е публикувал измамата вместо хакерите.

Освен водещите имена от технологичната индустрия и политиката, жертви са станали още  @bitcoin, @ripple, @coindesk, @coinbase and @binance – в чийто профили беше публикувано фалшиво предложение за връщане на още 5 000 BTC.

*Преводът е художествена интерпретация на реалния текст:

 

За по-високо ниво на защита, адресите на онлайн портфейлите с криптовалути се състоят от дълги стрингове букви, числа и специални символи. Затова, вместо да ги изписват на ръка, потребителите обикновено копират и поставят адресите през клипборда на устройствата, с които работят.

Именно на този поведенчески модел разчита и новото поколение зловредни кодове, наречено „clipper“ (клипъри). Те следят съдържанието на клипборда на заразените устройства и заменят определени поредици стрингове с такива, заложени от създателите на кодовете. Така, в случай, че потребителят иска да осъществи легитимна трансакция с криптовалута, може да се окаже, че копираният адрес на портфейл е този на създателя на вируса.

С други думи, клиперите подменят адреса на портфейла от този на истинския получател на трансакция с този на създателите на вируса.

Такъв тип вируси не са новост за Windows – Първите зловредни кодове от този тип за платформата датират от 2017 г., а през 2018 г. вече се засичат и за Android. През февруари 2019 г., обаче, клипърите вече са пробили път и могат да бъдат открити в Google Play, официалния магазин за Android приложения. Разкритието е дело на ESET и е засичано от приложенията на компанията с името Android/Clipper.C.

Копирай и кради

Зловредният код е маскиран под формата на дубликат на легитимната услуга MetaMask. Основната му цел е да открадне идентификационните данни на потребителя и частните му ключове, за да присвои контрол върху Etherium портфейла му. Освен това, той заменя и легитимни адреси на Bitcoin или Ethereum портфейли, копирани в клипборда, с тези на създателите на зловредния код.

ESET разкриват Android/Clipper.C малко след дебюта му в Google Play на 1 февруари. След контакт с екипа за сигурност на Google Play, приложението вече е премахнато.

АТаката е насочена срещу потребителите на услугата MetaMask service, която е създадена с идеята да стартира децентрализирани Etherium приложения в браузъра, без да се налага стартирането на пълна Eherium инстанция. Уловката в случая е, че услугата няма мобилно приложение – само допълнения за десктоп версиите на браузъри като Chrome и Firefox.

Това не е и първият път, в който MetaMask е жертва на опит за копиране. До момента обаче, името на компанията е използвано предимно с фишинг цели – и опит за кражба на потребителски имена и пароли, чрез които да бъде откраднат достъпа до портфейлите на жертвите.

Как да се защитите:

• Ъпдейтвайте Android устройствата си и използвайте ефективно решение за антивирусна защита за Android
• Сваляйте приложения само от Google Play – но винаги имайте едно на ум, защото, видимо и неговата защита може да бъде преодолявана
• Винаги проверявайте официалните сайтове на приложенията, които сваляте, и услугите, които стоят зад тях – защото, видимо, и легитимните приложения могат да станат жертва на копиране
• Проверявайте всяка стъпка във всяка трансакция, в която е замесено нещо ценно за вас. Като използвате клипборда, винаги сравнявайте дали поставения текст е същия като копирания от вас

 

Криптовалута на стойност 5 млн. лв. (3 млн. USD) е конфискувана при съвместна спецакция ГДБОП и Специализираната прокуратура, съобщиха от двете ведомства.

Според официалното прессъобщение операцията е „без аналог в Европа и България“. В рамките на акцията са повдигнати обвинения на 3 български граждани.

Обвиняемите са „действали изключително професионално и конспиративно,“ съобщават от ведомството.

От съобщението не става ясно кога точно е извършена акцията и кога са извършени предполагаемите престъпления. По-рано през ноември във Варна беше арестуват руския гражданин Александър Ж. Заповедта му за арест е издадена в САЩ, а обвинението е за конспирация за извършване на компютърни измами, от които са нанесени щети в размер на поне 7 млн. USD. Престъплението е извършено в периода от септември 2014 год. до декември 2016 г. и е наказуемо в САЩ с лишаване от свобода до 20 години или с глоба, както и с двете.

По време на акцията от тях са иззети компютри и флаш памети, хардуерни портфейли, тефтери с данни за множество акаунти на съществуващи и несъществуващи физически лица, които са били използвани в незаконната схема за придобиване на криптовалута. Конфискуван е и лек автомобил на стойност 60 000 лв., купен с пари от престъпната дейност.

Досъдебното производство по случая е обpaзyвaнo в ĸpaя нa юни 2018 г.

C oпpeдeлeниe нa Cпeциaлизиpaния нaĸaзaтeлeн cъд нa двaмa oт oбвинeнитe ca взeти мepĸи зa нeoтĸлoнeниe „Здъpжaнe пoд cтpaжa“. Ha тpeтия yчacтниĸ нaблюдaвaщият дeлoтo пpoĸypop oпpeдeли „Πapичнa гapaнция“ в paзмep нa 50 000 лeвa.

 

Хакери са източвали дигитални портфейли от борсата за криптовалути gate.io. Според компанията за киберсигурност ESET това е станало чрез компрометиране на брояча StatCounter, който се използва от сайта на борсата.

StatCounter е популярен иструмент за измерване на трафика на сайтове. Според сaмата платформа StatCounter се използва от около 2 млн. уебмастъри по света. Борсата gate.io също използва този брояч.

Промъкване през задния вход

Вместо да атакуват директно сайта на gate.io, хакерите са се вмъкнали през задния вход – в случая през брояча на сайта.

За да използва StatCounter, уебмастърът трябва да добави в сайта си JavaScript код. Хакерите са успели да компрометират този код и да добавят в него свой собствен.

Когато потребител на gate.io иска да прави трансфери към други биткойн адреси, той отива на страница с адрес: https://www.gate.io/myaccount/withdraw/BTC. Зловреденият код засича, когато това се случи, и се активира.

Работата му е да замени оригиналния биткойн адрес, към който потребителят иска да направи трансакция, с биткойн адрес, който се притежава от хакерите.

Как протича атаката

1.Потребителят зарежда страницата, от която ще прави трансакция;

2. Зловредният код подменя адреса, към който ще се изпраща сумата, с адрес, който се контролира от хакерите. При всяко зареждане на скрипта се зарежда нов биткойн адрес. Така е по-трудно да се проследи общият размер на сумата, източена от портфейлите до момента;

3.Зловредният код проверява каква сума планира да трансферира потребителят. Той може да променя сумата, така че да достигне дневния допустим лимит.

„Не знаем колко биткойни са откраднати по време на тази атака. Но тя показва, че организаторите й са готови да стигнат далеч, за да постигнат целта си. Те първо компрометират платформа за измерване на интернет трафик, за д амогат след това да пробият и борса за криптовалути“, коментират от ESET.

По данни на компанията дневно в geto.io се правят трансакции в биткойн на стойност 1.6 млн. долара

 

Най-голямата корейска платформа за търговия с криптовалути Bithumb е бил хакнат за трети път. Прочетете повече »

Последен ъпдейт на 28 юни 2018 в 01:12 ч.

Няма спор, че 2017 г. беше годината на криптовирусите (или ransomware). Няма спор, и че от началото на 2018 г. те някак изчезнаха от заглавията на медиите – след гръмкото отразяване на имена като WannaCry, NotPetya и Bad Rabbit.

От началото на годината обаче са засечени с 35% по-малко опити за зараза при крайните потребители и 28% ръст при бизнес потребителите. Да, това е знак, че интересът към този тип зловредни атаки не е намалял – дори обратното. GandCrab, Scarabey и Hermes са сред новите имена на пазара, които засенчиха предишните величия като Locky и Cerber.

От началото на годината няма и твърдо много шум или разкрити гигантски пробиви, огромни масиви източени данни или разкрити атаки – но кибер-престъпността е далеч от изчезнала.

Пример за това твърдение е появата на изцяло нов тип атаки – coinminer. Тези атаки не насочени срещу потребителите – поне не директно. На практика, те експлоатират легална функция на CoinHive, която позволява „копаeнето“ за криптовалутата Monero директно през браузъра на потребителя. Как? Като кодове, изпълняващи тази функция, се инжектират в множество сайтове (обикновено) без знанието на собствениците на самите сайтове.

Така, всеки посетител на даден сайт започва да „копае“ Monero докато е на сайта. Което е довело до 27% на тези атаки за първото тримесечие на годината при десктопи и лаптопи – и им отрежда второ място сред най-разпространените сред бизнес потребителите.  При мобилните атаки ръстът е 40 пъти – или 4000% само за година.

Разбира се, твърде рано е да се каже дали това е „новата тенденция“ в областта на кибер-сигурността, но е хубаво да проверявате редовно сайтовете и уеб приложенията, с които работи бизнеса ви за наличието на подобни снипети код. Спомнете си само каква беше реакцията на хората като разбраха, че сайт като The Pirate Bay планира да замени рекламата с coinminer-и. А сега си представете, че разберат, че сайтът на организацията ви има подобен код и 1) експлоатирате системните ресурси на потребителите си без знанието им и 2) всъщност – какви може да са щетите по репутацията ви, ако се разбере, че на сайта ви могат да бъдат добавяни кодове „просто така“?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:28 ч.

През последните години ставаме свидетели на невиждан до момента бум на криптовалутите. След като най-силно установената от тях – Bitcoin – увеличи стойността си с около двадесет пъти в рамките на годината (стигайки до почти $20 000), светът заключи, че е време да обърне внимание на „виртуалните пари“. Видяхме залеза на различни криптовалути, разделянето им на различни разновидности, купища измами и дори едно отвличане. Това показва, че е време да се замислим как общественото внимание ще се отрази на кибер-сигурността.

Двете страни на монетата

Без съмнение, новото поколение валути имат огромно положително въздействие. Създаването им и търговията с тях позволява на различни инициативи да се развиват и помага на хора без достъп до дадени пазари. Дотолкова, че през април, 2017 г., Bitcoin беше приет като законно платежно средство в Япония. От друга страна, редица правителства работят по строгата регулация или абсолютната забрана на тази и други криптовалути. Можете ли да се досетите защо?

Факт е, че основните предимства на този тип разплащателни средства (анонимност, децентрализация, липса на регулация и моментални трансфери) могат да се използват и със злонамерени цели. Според IOCTA (Internet Organized Crime Threat Assessment) на Европол, това ги прави основното разплащателно средство при организацията на кибер престъпления. Но когато говорим за сигурност можете да се досетите, че всичко опира до една крайна точка – потребителя.

Криптовалутите може да не са по-сигурна алтернатива

Услугите за търгуване с виртуални валути и заменянето им за „аналогови“ са достъпни за всички. Това позволява на хора с не толкова добри познания за добрите практики в сигурността да търгуват неограничено. Огромната възможност за монетизация е изключително атрактивна за всеки с някакви познания за това как да пробие потребителската защита и намерението да ги използва. По данни на Ройтерс, над милион биткойна са били откраднати от 2011-та насам. Миналата година не беше лишена от инциденти, някои от които приеха притеснителни мащаби:

• Още в началото на годината, хакери проникнаха в личния компютър на работник от една от големите южнокорейски борси. Личните данни на над 30 000 клиенти бяха откраднати и използвани за измами, чиито щети се изчисляват на 1 млн. USD.
• Компанията зад валутата Tether докладва за кражби на стойност над 31 млн. USD от личните си залежи.
• Дори и без престъпни намерения, обикновен потребител успя да „замрази перманентно“ ether на стойност 280 млн. USD след като некачествен код му позволява да изтрие една от библиотеките, осигуряваща достъп на потребителите.
• Словенската борса NiceHash докладва за „професионална атака“ от опитни престъпници, които са използвали социално инженерство, за да добият данните за достъп на служител. Борсата е пострадала с биткойни на стойност 64 млн. USD.

Какво ни казват тези данни?

Както всяка „дигитална революция“, тази също напредва прекалено бързо, за да може сигурността да я настигне. След като повече и повече хора стават част от кипящите пазари за криптовалути, опасностите, които ги дебнат се увеличават с притеснителни темпове. Липсата на регулация от външни организации също има своите рискове, заради които различни правителства (като това на Еквадор) планират да създадат собствени валути, забранявайки всички останали. Междувременно, освен ако изобилието от слаби точки в сигурността не бъде адресирано, то инцидентите от миналата година са само началото.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:30 ч.

Биткойните чупят всякакви рекорди – след като поскъпнаха с над 20% само в рамките на миналата седмица, цената им премина границата от 14,800 долара само за 24 часа. Какво означава това? Причина за хакерите да проявят интерес към валутата, разбира се.

Резултатът не закъсня – NiceHash, най-голямата платформа за копаене на криптовалутата, бе хакната, което според различни източници е довело до кражбата на над 4,700 биткойна (около 57 млн. USD по време на разкриването на пробива – и около 70 млн. USD само 24 часа по-късно).

NiceHash е създадена през 2014 г. и позволява на потребители, които имат свободна изчислителна мощ на компютрите, да я използват за създаване на нови биткойни. На 6 декември от няколко потребителя на платформата съобщиха, че портфейлите им с биткойни са били опразнени, а в последствие и от NiceHash потвърдиха новината след кратко спиране на платформата под претекст, че се осъществява техническа поддръжка.

Към момента сайтът все още е офлайн, а в официалното съобщение се признава за осъществения пробив, както и, че хакерите са откраднали целия портфейл с биткойни на компанията.

След разкриването на инцидента от NiceHash препоръчват на потребителите си да сменят паролите си – както за тяхната, така и за други услуги, ако използват идентични данни за логин.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:34 ч.

Докато целият свят очаква с нетърпение какви нови висоти ще покори обменният курс на криптовалутата биткойн (bitcoin) и какви ще бъдат наследниците на вируси като WannaCryptor или Petya, идват нови и много по-потайни методи за генериране на приходи за кибер-престъпността.

Една подобна дейност се случва поне от май 2017 г. – оттогава насам хакери атакуват Windows сървъри, чийто ъпдейти не са инсталирани навреме (или иначе казано – не са патчнати) и инсталират т.нар. криптомайнъри. Това са кодове, които използват изчислителната мощ на компютрите на посетителите на уебсайтове, без те да подозират за това. А тази мощност се използва за „копаене“ на криптовалутата Monero (XMR), алтернатива на Биткойн.

За да постигнат този ефект, атакуващите са модифицирали open source софтуер за майнване на Monero и използват добре позната уязвимост на Microsoft IIS 6.0, за да инсталират кодовете си на непатчнати сървъри. В рамките на последните 3 месеца създателите на софтуера са заразили стотици уебсайтове, част от които и български, и са генерирали за себе си над 63,000 от криптовалутата Monero.

Клиентите на ESET са защитени от опити за експлоатиране на уязвимостта CVE-2017-7269, дори и, ако сървърите им не са патчнати.

Защо Monero, а не Bitcoin?

Макар и с доста по-ниска пазарна стойност от Bitcoin, Monero има няколко допълнителни функционалности, които го превръщат в много привлекателна криптовалута, обвързана със зловредни кодове. Например, алгоритъм за доказване на ефективност CryptoNight, който предпочита компютърни или сървърни процесори (CPU) и видео карти (GPU), за разлика от специализирания хардуер, необходим за работа с биткойни.

Не, че стойността на Monero не расте – само за последния месец тя е скочила от 40 USD/XMR до 150 USD/XMR – след което е загубила част от позициите си до около 100 USD/XMR към момента.

Криптомайнърът

Засечен за първи път на 26 май 2017 г., кодът, използван от хакерите, е модифицирана версия на иначе легитимния софтуер за майнване на Monero xmrig, версия 0.8.2 (публикувана на същия ден – 26 май 2017 г.).

При създаването на зловредния си код, кибер-престъпниците не са промени структурата на оригиналната база данни – ако изключим факта, че са хардкоднали адреса на портфейла си и URL на майнинг пула, както и няколко допълнителни аргумента, за да спрат всички възможни паралелно работещи инсталации на софтуера. По този начин те си гарантират, че на заразения компютър ще работи само и единствено най-новата инсталация на майнъра – тази, създадена от хакерите. Иначе казано – модификациите надали са отнели повече от няколко минути, което обяснява как зловредният код се появява буквално в същия ден с публикуването на легитимната версия на xmrig.

Разпространение

Разпространението на майнъра към компютрите на жертвите е най-трудната част от операцията. Дори и за нея, създателите са прибегнали до най-лесния подход. Засечени са 2 IP адреса, през които се осъществяват brute-force атаки срещу уязвимостта CVE-2017-7269.

Тя е открита през март 2017 г. и позволява на атакуващите да инжектират кода, с който да инициират експлоатирането на компютрите на посетителите незасегнати сайтове.

Решенията на ESET засичат майнъра с името Win32/CoinMiner.AMW trojan, а опитите за проникване в сървър като webDAV/ExplodingCan.

Малко статистика

Благодарение на факта, че статистиката за дейността на майнърите на Monero е публично достъпна, ESET успяват да засекат и комбинират всички хашове на жертвите, което представлява общата изчислителна мощ, използвана за „копаене“ към съответния акаунт. Стойностите се движат около 100 килохаша на секунда (kH/s), с пикове от 160 kH/s в края на август.

Като цяло, сборът от всички заразени машини е XMR5.5 на ден до края на август и над XMR420 от старта на атаката. При обменен курс от 150 USD/XMR, това означава 825 долара на ден или над 63,000 долара общ приход за създателите на зловредния код.

Атакуващите са били много активни в края на август, но от началото на октомври не са засечени масови атаки – въпреки че вирусът се появи в България именно през октомври –засякохме няколко сайта, които бяха заразени с кода – но той е отстранен от тях своевременно.

Освен това, тъй като майнърът няма механизъм за саморазпространение, хакерите непрекъснато губят вече компрометирани машини и скоростта на генериране е спаднала на 60 kH/s към момента на писането на този текст.

Това, обаче, не е първата “почивка“ на авторите на кода – и не е изключено да станем свидетели на нова подобна кампания в бъдеще. Поддържайте сървърите си винаги във форма – ъпдейтвате операционните им системи и ги защитавайте с лицензиран антивирусен софтуер като първо ниво на защитата си. Или се възползвайте от услугите на SOC (Security Operation Center), който да следи дейността им постоянно.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.