Криптовалути

Злонамерен Python Package Index (PyPI) пакет, наречен „set-utils“, краде частни ключове на Ethereum чрез функции за създаване на портфейл и ги изнася през блокчейна Polygon.

Пакетът се маскира като помощна програма за Python, имитирайки популярните „python-utils“, които имат над 712 милиона изтегляния, и „utils“ с 23,5 милиона инсталации. Set-utils е бил изтеглен над хиляда пъти от представянето му в PyPI на 29 януари 2025 г. Тъй като е насочен към проекти за криптовалути обаче, въпреки че е имало само хиляда изтегляния, той би могъл да засегне много по-голям брой хора.

Злонамереният пакет set-utils вгражда публичния ключ RSA на нападателя, който се използва за криптиране на откраднати данни и акаунт. Атакaта е насочена предимно към разработчици на блокчейн, използващи „eth-account“ за създаване и управление на портфейл, базирани на Python DeFi проекти. В обхвата ѝ също така попадат Web3 приложенията с поддръжка на Ethereum и лични портфейли, използващи автоматизация на Python.

Пакетът set-utils е премахнат от PyPI след откриването му. Въпреки това потребителите и разработчиците на софтуер, които са го включили в своите проекти, трябва незабавно да го деинсталират.

Приемете, че всички създадени портфейли на Ethereum са компрометирани. Ако те съдържат средства, препоръчваме ви да ги преместите в друг портфейл възможно най-скоро, тъй като има риск да бъдат откраднати във всеки един момент.

Киберизмамници създават фалшиви уебсайтове, имитиращи DeepSeek. Целта на новата кампания е да се подлъжат потребителите да разкрият лична и чувствителна информация.

Според изследователи от ThreatLabz вече са се появили значителен брой имитационни сайтове на китайския чатбот. Част от тях са deepseeksol.com, deepseeksky.com, deepseek.app, deepseekaiagent.live и много други.

Освен че се прицелват в личните данни на потребителите, хакерите ги подмамват и да изтеглят Vidar – вид infostealer.

Веригата на атаката включва:

• измамен уебсайт на DeepSeek, който иска от посетителите да извършат процес на регистрация;
• потребителят се насочва към фалшива CAPTCHA страница;
• JavaScript копира злонамерена PowerShell команда в клипборда на потребителя, която, ако бъде изпълнена, изтегля и изпълнява Vidar infostealer;
• той краде чувствителни данни като пароли, портфейли за криптовалути и лични файлове.

Зловредният софтуер използва платформи за социални медии, като Telegram, за да прикрие своята C2 инфраструктура. Той е програмиран да търси файлове и конфигурации, конкретно свързани с портфейли за криптовалути.

Неизвестен нападател е откраднал криптовалута на стойност над 1,46 млрд. USD от криптоборсата Bybit. Той е успял да пробие един от нейните студени (офлайн) портфейли за Ethereum (ETH).

Това е и най-голямата единична кражба на криптовалути в историята, като тя удвоява предишния рекорд. Досега той се държеше от пробива в Sky Mavis през март 2022 г. – 620 млн. USD.

Новата рекордна кражба е извършена в момент, в който се е изпълнявал трансфер между студен и горещ (онлайн) портфейл на Bybit. Трансакцията е била манипулирана чрез сложна атака, която подменя интерфейса за подписване.

Тя показва правилния адрес, но променя основната логика на интелигентния договор. В резултат на това нападателят успява да придобие контрол над засегнатия студен ETH портфейл и да прехвърли авоарите му на неидентифициран адрес.

За да защитите трансферите си между студен и горещ портфейл за криптовалути:

• използвайте защитена и надеждна интернет връзка, когато извършвате трансакции, и избягвайте обществени Wi-Fi мрежи;
• винаги проверявайте внимателно адресите на портфейлите, към които изпращате криптовалута, тъй като дори малка грешка може да доведе до загуба на средства;
• използвайте MFA за допълнителна защита на вашите акаунти и портфейли;
• уверете се, че данните за вашите портфейли са шифровани и редовно архивирани на сигурно място;
• използвайте firewall и антивирусен софтуер за откриване и блокиране на зловреден софтуер, който може да компрометира вашите трансакции;
• бъдете внимателни за фишинг атаки – не отваряйте подозрителни имейли и линкове и винаги проверявайте източника на съобщенията.

Киберпрестъпниците използват нова тактика, наречена transaction simulation spoofing, за да крадат криптовалути. При такава кампания успешно са откраднати 143,45 токена Ethereum на стойност приблизително 460 000 USD.

Атаката, забелязана от ScamSniffer, подчертава недостатък в механизмите за симулация на трансакции, използвани в съвременните Web3 портфейли. Парадоксалното е, че те са предназначени да предпазват потребителите от измамни и злонамерени трансакции.

Тази функция позволява на потребителите да преглеждат очаквания резултат от превод в блокчейн, преди да го верифицират и изпълнят. Атакуващите обаче примамват жертвите към злонамерен уебсайт, имитиращ легитимна платформа, която инициира това.

Измамата протича така:

• симулацията показва даден резултат;
• потребителят я одобрява и я подписва за официално изпълнение;
• нападателите използват времето между симулацията и изпълнението, за да променят договора в блокчейн;
• това променя резултата, до който ще доведе трансакцията.

По този начин злонамерения уебсайт да източи портфейла на жертвата и да изпрати криптовалутите към хранилището на нападателя.

Този нов вектор на атака представлява значителна еволюция в техниките за фишинг.

За да се защитите:

• винаги се отнасяйте с подозрение към офертите за безплатна симулация на трансакции;
• използвайте само проверени приложения.

Последен ъпдейт на 25 януари 2025 в 11:09 ч.

Bitcoin е в подем. За пръв път в историята си криптовалута №1 надхвърли 100 000 USD в началото на декември, след като нарасна с над 30% от нощта на изборите в САЩ. Но това важи с пълна сила и за измамите и зловредния софтуер, предназначени да откраднат криптовалутите ви.

Последният Threat Report на ESET разкрива, че засичането на т.нар. Cryptostealer е скочило с 56% от първото до второто полугодие на 2024 г. Атаките са насочени както срещу Windows и Android, така и срещу macOS.

Това е отражение на нарастващата роля, която криптовалутите играят в световните финанси. Децентрализираният им характер, бързината и необратимостта на трансакциите и възможността за прехвърляне по целия свят ги правят още по популярна цел за киберпрестъпниците.

Затова и рисковете на това поле се задълбочават през 2024.

Криптозаплахи, от които трябва да се пазите

Когато става въпрос за кражба на криптовалути, трябва да внимавате не само за фишинг и зловреден софтуер. Измамниците са разработили редица измами, целящи да изпразнят вашите криптопортфейли.

Според доклад на Chainalysis от август например pig butchering атаките са се превърнали в едно от най-разпространените средства за кражба на криптовалути.

ESET Threat Report дава допълнителна яснота за заплахите през 2024. Ето няколко основни заключения:

• Атаките с Password Stealing Ware (PSW) в MacOS са се увеличили със 127%. Те са насочени към кражба на идентификационни данни, свързани с портфейли за криптовалути. Това отчасти се дължи на продавания в Telegram по модела Malware-as-a-Service Atomic Stealer. Нападателите разпространяват този зловреден софтуер чрез злонамерени реклами в Google.
• PSW заплахите стоят и зад ръста на криптокрадците, насочени към Windows. Там обаче в основата стои друг зловреден инструмент – Lumma Stealer.
• Много банкови „троянски коне“ за Android вече съдържат функционалност на Cryptostealer наред с традиционните си функции. Този клас заплахи срещу криптопортфейлите е нараснал с 20% през второто полугодие на 2024 г.
• Повишена активност има и около друг Malware-as-a-Service инструмент – Vidar Infostealer. Той е предназначен за събиране на идентификационни данни, съхранявани в браузъра, и такива от криптопортфейли. Разпространява се чрез зловредни реклами във Facebook, групи в Telegram и форуми в Dark Web.
• Геймърите са таргетирани чрез Cryptostealer и Infostealer, скрити в кракнати игри. Те включват Red Line Stealer и Lumma Stealer.
• Фишинг сайтовете, свързани с криптовалути, представляват 8% от всички наблюдавани през първото полугодие на 2024 г. от ESET. Това поставя тази група в Топ 5 за периода.

Как да се защитите

Всичко това упражнява допълнителен натиск върху потребителите. Съществуват различни мерки, които можете да предприемете, за да намалите заплахата за вашите криптопортфейли.

Ето 10 важни стъпки:

1. Не поставяйте всичките си средства на едно място. Разпределете риска и обмислете използването на хардуерни портфейли, които не са свързани с интернет и следователно са по-добре изолирани от цифрови заплахи.
2. Избирайте внимателно доставчиците си на портфейли въз основа на отзиви. Не забравяйте да държите свързаните с интернет хранилища защитени с MFA.
3. Включете 2FA за всяко криптоприложение, което използвате.
4. Не използвайте публични Wi-Fi мрежи, когато сте навън. Ако се наложи да го направите, в никакъв случай не осъществявайте достъп до криптоакаунтите си.
5. Винаги поддържайте устройствата и лаптопите/компютрите си с актуални пачове и софтуер за сигурност.
6. Използвайте VPN услуга от реномиран доставчик за допълнително ниво на сигурност, за да се предпазите от фишинг, зловреден софтуер и други заплахи.
7. Изтегляйте софтуер само от надеждни източници и официални уебсайтове, като преди това проверявате потребителските отзиви и рейтингите на разработчиците.
8. Периодично премахвайте неизползваните разширения/софтуер.
9. Редовно проверявайте за евентуални необичайни действия в криптосметките си.
10. Бъдете нащрек за измами.

Миналата година киберизмамниците са откраднали криптовалута на стойност 494 млн. USD при wallet drainer атаки. Te са били насочени към над 300 000 криптопортфейла.

Това представлява увеличение с 67% спрямо данните за 2023 г., въпреки че броят на жертвите е нараснал само с 3,7%. Тази статисткика показва, че потърпевшите са загубили по-значителни суми средно.

Данните идват от платформата за борба с измамите в Web 3 Scam Sniffer. Тя съобщава за вълни от wallet drainer атаки, които са засягали до 100 000 души едновременно. Този вид кампании използват фишинг инструменти, специално създадени за кражба на криптовалута или други цифрови активи от портфейлите на потребителите. Те често се разполагат на фалшиви или компрометирани уебсайтове.

През 2024 г. Scam Sniffer отчита 30 мащабни (над 1 млн. долара) кражби, извършени с помощта на подобни инструменти. При най-големия единичен обир е осребрена криптовалута на стойност 55,4 млн. долара.

Що се отнася до тенденциите, наблюдавани през 2024 г., платформата подчертава използването на фалшиви CAPTCHA и Cloudflare страници за избягване на откриването.

Повечето кражби разчитат на подписа „Permit“ (56,7%) или „setOwner“ (31,9%) за източване на средствата. Първият дава одобрение за изразходване на токени съгласно стандарта EIP-2612, докато вторият актуализира собствеността или административните права на интелигентния договор.

Друга забележителна тенденция е увеличеното използване на реклами в Google и Twitter като източник на трафик към фишинг уебсайтовете. Нападателите използват компрометирани акаунти, ботове и фалшиви токени за постигане на целта си.

За да се предпазите от подобни атаки:

• взаимодействате само с надеждни и проверени уебсайтове;
• проверявайте URL адресите, от които получавате имейли;
• четете съобщенията за одобрение на трансакциите и исканията за разрешение, преди да ги подпишете.

Много портфейли предлагат и вградени предупреждения за фишинг или злонамерени трансакции, така че не забравяйте да ги активирате.

Севернокорейските хакери са откраднали криптовалути на стойност 1,34 млрд. USD след 47 кибератаки, извършени през 2024 г.

Според доклад на Chainalysis тази сума представлява 61% от общия размер на откраднатите средства за годината и бележи увеличение с 21% на годишна база. Въпреки че инцидентите с криптовалути достигат рекордните 303, цифрата на общите загуби не е безпрецедентна. 2022 г. остава рекордна с 3,7 млрд. долара.

Повечето от инцидентите през тази година са се случили между януари и юли, като през този период са откраднати 72% от общата сума за 2024 г. Най-сериозният случаи е хакването на DMM Bitcoin от май. При него са загубени криптовалути за над 305 млн. USD. При киберизмамата WazirX от юли пък са откраднати 235 млн. USD.

Анализаторите съобщават, че компрометирането на частни ключове е стояло в основата на 44% от загубите. Експлоатацията на уязвимости в сигурността е виновна за едва 6,3% от откраднатите криптовалути.

Киберпрестъпниците подлъгват Web3 разработчици с фалшиви бизнес срещи, използвайки измамна платформа за видеоконференции. Тя заразява Windows и Mac със зловреден софтуер за кражба на криптовалути, банкова информация и данни от уеб браузърите.

Кампанията е наречена „Meeten“ и е в ход от септември 2024 г. Откривателите ѝ от Cado Security Labs предупреждават, че нападателите постоянно променят брандинга на фалшивия софтуер за срещи. Досега те са открили случаи на използване под имената „Clusee“, „Cuesee“, „Meetone“ и „Meetio“.

Фалшивите платформи са подкрепени от привидно официални уебсайтове и акаунти в социалните медии. Посетителите попадат в тях чрез фишинг или социално инженерство. Те са подканяни да изтеглят „приложение за срещи“, което в действителност е Realst stealer.

В един от случаите с жертават ужким се свързва неин познат през Telegram. Той иска да обсъдят бизнес възможност. За целта предлага да си насрочат среща, като преди това тя е подканена да изтегли въпросния софтуер. Измамникът дори изпраща инвестиционна презентация от името на компания. Това показва, че става въпрос за сложна и целенасочена измама.

Съветваме ви никога да не инсталирате софтуер, препоръчан от потребители в социалните мрежи, без първо да са проверили дали той е легитимен. Дори да се окаже такъва, задължително го сканирайте с някой от многофункционалните антивирусни инструменти, които се предлагат на пазара.

В петък вечерта крипто измамници за кратко са успели да превземат уебсайта на LEGO, за да популяризират фалшив „LEGO токен“, който може да бъде закупен с Ethereum.

По време на пробива хакерите са заменили основния банер на компанията за играчки с изображение, показващо крипто токени, брандирани с нейното лого, и текст, гласящ: „Нашият нов LEGO токен официално излезе! Купете новия LEGO токен днес и отключете тайни награди!“

За разлика от много измами с криптовалути, тази не е промотирала злонамерен сайт за кражба на активи, когато потребителят свърже портфейла си. Вместо това кликването върху бутона „Купи сега“ е отвеждал посетителите до платформата за криптовалути Uniswap, където те са можели „да закупят“ фалшивия токен на LEGO с Ethereum.

Според модератора на канала на LEGO в Reddit пробивът е продължил приблизително 75 минути. От компанията посочват, че не са били компрометирани потребителски акаунти и клиентите могат да продължат да пазаруват от уебсайта, както обикновено.

Наскоро Nvidia лимитира възможностите на новите видео карти от серията RTX 3000 да копаят криптовалути.

Още щом компанията обяви, че налага „hash rate” ограничение, което не може да бъде премахнато, беше ясно, че е въпрос на време това да се случи.

Майнинг Youtuber Brandon Coin е намерил начин да заобиколи лимитирането на производителността на RTX 3060, като е използвал собствените драйвери на Nvidia (версия 470.05).

Така картата може да достигне 40-45 MH/s, което е почти двойно над ограничението, наложено от наличните драйвери на Nvidia.

Майнърите предпочитат RTX 3000

Това са най-търсените и най-трудни за намиране видео карти в момента на пазара. Факт е, че RTX 3000  серията отбеляза голям скок в изчислителна мощност, сравнено с предишните две генерации.

Nividia имат специални видео карти, създадени за копаене на криптовалута (https://www.nvidia.com/en-us/cmp/). Те обаче не са толкова популярни, защото не могат да бъдат използвани за нищо друго, напр. рендъринг, гейминг, и т.н. А и производителността им е лимитирана.

Освен това, доста от копачите на криптовалути препродават вече използваните видео карти на доста ниски цени. Това насища пазара с евтин продукт, с който всеки може да се снабди и да използва сравнително успешно ако няма намерение да го товари много.

Всички ние, обикновените потребители, можем само да изчакаме и да видим какъв ще е ходът на Nvidia по отношение на RTX 3070 и 3080 и дали ще предложат още един „непробиваем“ софтуер.