Криптовалути

  • Android вирус краде криптовалути през клипборда на жертвите си

    За по-високо ниво на защита, адресите на онлайн портфейлите с криптовалути се състоят от дълги стрингове букви, числа и специални символи. Затова, вместо да ги изписват на ръка, потребителите обикновено копират и поставят адресите през клипборда на устройствата, с които работят.

    Именно на този поведенчески модел разчита и новото поколение зловредни кодове, наречено „clipper“ (клипъри). Те следят съдържанието на клипборда на заразените устройства и заменят определени поредици стрингове с такива, заложени от създателите на кодовете. Така, в случай, че потребителят иска да осъществи легитимна трансакция с криптовалута, може да се окаже, че копираният адрес на портфейл е този на създателя на вируса.

    Зловредният код е маскиран под формата на дубликат на легитимната услуга MetaMask

    С други думи, клиперите подменят адреса на портфейла от този на истинския получател на трансакция с този на създателите на вируса.

    Такъв тип вируси не са новост за Windows – Първите зловредни кодове от този тип за платформата датират от 2017 г., а през 2018 г. вече се засичат и за Android. През февруари 2019 г., обаче, клипърите вече са пробили път и могат да бъдат открити в Google Play, официалния магазин за Android приложения. Разкритието е дело на ESET и е засичано от приложенията на компанията с името Android/Clipper.C.

    Копирай и кради

    Зловредният код е маскиран под формата на дубликат на легитимната услуга MetaMask. Основната му цел е да открадне идентификационните данни на потребителя и частните му ключове, за да присвои контрол върху Etherium портфейла му. Освен това, той заменя и легитимни адреси на Bitcoin или Ethereum портфейли, копирани в клипборда, с тези на създателите на зловредния код.

    ESET разкриват Android/Clipper.C малко след дебюта му в Google Play на 1 февруари. След контакт с екипа за сигурност на Google Play, приложението вече е премахнато.

    АТаката е насочена срещу потребителите на услугата MetaMask service, която е създадена с идеята да стартира децентрализирани Etherium приложения в браузъра, без да се налага стартирането на пълна Eherium инстанция. Уловката в случая е, че услугата няма мобилно приложение – само допълнения за десктоп версиите на браузъри като Chrome и Firefox.

    Това не е и първият път, в който MetaMask е жертва на опит за копиране. До момента обаче, името на компанията е използвано предимно с фишинг цели – и опит за кражба на потребителски имена и пароли, чрез които да бъде откраднат достъпа до портфейлите на жертвите.

    Как да се защитите:

    • Ъпдейтвайте Android устройствата си и използвайте ефективно решение за антивирусна защита за Android
    • Сваляйте приложения само от Google Play – но винаги имайте едно на ум, защото, видимо и неговата защита може да бъде преодолявана
    • Винаги проверявайте официалните сайтове на приложенията, които сваляте, и услугите, които стоят зад тях – защото, видимо, и легитимните приложения могат да станат жертва на копиране
    • Проверявайте всяка стъпка във всяка трансакция, в която е замесено нещо ценно за вас. Като използвате клипборда, винаги сравнявайте дали поставения текст е същия като копирания от вас

     

  • Делът на cryptojacking атаките е намалял значително в края на 2018

    Делът на засечените cryptojacking атаки е намалял двойно през последното тримесечие на 2018 г., показват данните от анализ на компанията за информационна сигурност Webroot. Вероятно това се дължи на общия спад в стойността на криптовалутите и в частност на монеро, която обикновено се генерира в cryptojacking кампании.

    През септември 2018 г. делът на зловредните URL адреси, водещи към копачи за криптовалути, е бил над 10%. Само три месеца по-късно този дял вече намалява към 5%. „Светът на криптовалутите преживя бурен период. Възможно е намаляващите cryptojacking атаки да се дължат на сриващите се цени на криптовалутите. Възможно е да се дължи и на факта, че потребителите започват да вземат превантивни мерки“, коментират от Webroot.

    Срив на криптовалутите

    Цената на монеро надхвърли 450 долара през януари 2018 г. и след това започна да пада, понижавайки се до едва 46 долара към края на декември 2018 г. Срина се и общата пазарна капитализация на криптовалутите.

    Монеро е основната валута, която се генерира от cryptojacking атаки. Падащата й цена означава, че е много по-неизгодно да се осъществяват такива атаки, тъй като те носят все по-малко доходност.

    Идва ли краят на cryptojacking атаките?

    Според Келвин Мъри е малко вероятно това да се случи скоро. „Криптовалутите и зловредното копаене на валути няма да изчезнат. Дори и след отчетения спад 2018 може да се определи като година, през която криптопрестъпленията нараснаха… Всяко незаконно копаене на криптовалути може да доведе до високи сметки за ток и главоболия за потребителите“, казва Мъри.

    Съвети за потребители

    • Обновявайте постоянно. Това важи както за операционната система и за антивирусната програма, така и за фърмуера на рутера;
    • Следете в каква степен браузърът ви натоварва процесора. Твърде голямо натоварване може да означава cryptojacking атака;
    • Следете за внезапни ръстове в натоварването на процесора. Ако има такива, сканирайте устройството с подходящо антивирусно решение;
    • Защитете вашия RDP;
  • Койнмайнърите са най-популярната онлайн заплаха в света през 2018 г.

    Койнмайнърите са окупирали челната тройка в Global Threat Index – класация на най-често засичаните форми на малуер, която се публикува от Check Point.

    За 13-и пореден месец лидер в класацията е Coinhive. Това е най-популярният код за копаене на криптовалути в света. Coinhive засяга около 12% от организациите по света според Check Point. Следват го койнмайнърите XMRig (8% от институциите) и JSEcoin (7%).

    „Организациите продължават да са цел на койнмайнърите. Това се случва, въпреки че цените на криптовалутите паднаха през 2018 г.“, коментират от компанията.

    Атаките с койнмайнъри, или cryptojacking атаки, са донесли на своите организатори над 143 млн. долара според прогноза на Palo Alto Networks. Само в региона на Близкия изток, Турция и Африка са засечени 13 млн. опита за атаки с койнмайнъри през 2018 г. според статистиката на Kaspersky. Това е четирикратно увеличение спрямо предходната година.

    Пораженията от повечето форми на малуер се виждат веднага. Вредата от койнмайнърите обаче остава скрита за бизнеса и индивидуалните потребители. Което не означава, че не съществува. Кодовете за копане на криптовалути могат да амортизират информационните системи във фирмата. Те могат да увеличат разходите за тяхната поддръжка, да раздуят сметките за ток.

    Затова койнмайнърите се считат за по-безопасни и доходоносни форми на малуер от компютърните престъпници. Това обяснява и огромната им популярност през 2018 г.

    Ако искате да се предпазите от този нов и популярен тип заплаха, прочетете нашия съветник „Пет начина да намалите рисковете от cryptojacking атаки“.

     

  • Популярна библиотека за Node.JS е била инфектирана с малуер за източване на биткойн портфейли

    Библиотека за Node.JS е била инфектирана с малуер за източване на биткойн портфейли. Кодът е останал незабелязан в продължение на поне 2 месеца в библиотека, която има почти 2 млн. сваляния седмично.

    Става дума за event-stream, която се използва от поне два биткойн портфейла – Copay и BitPay. Именно тези два портфейла са основната цел на малуера според npmjs.org – хранилище, което хоства event-stream.

    Библиотеката се използва от мобилните и настолните приложения на Copay и BitPay. Едноименният разработчик вече съобщи, че BitPay не е уязвим към зловредния код. Copay обаче е уязвим и в момента се преценява дали има пострадали потребители.

    „Ако използвате Copay версия от 5.0.2 до 5.1.0, не отваряйте и не стартирайте приложението. Подготвяме защитена версия  5.2.0, която ще е достъпна за потребителите. Те трябва да знаят, че  е възможно частните ключове на засегнатите портфейли да са компрометирани. Потребителите трябва незабавно да преместят парите си към нови портфейли, използвайки версия 5.2.0“, коментират от BitPay.

    Обновете портфейла си

    Компанията препоръчва на потребителите най-напред да обновят приложението си до най-новата безопасна версия, след което да създадат нов портфейл и да трансферират към него парите си от стария портфейл.

    Viacoin, която разработва портфейл за криптовалути, също излезе с изявление по случая. Причината е, че Viacoin използва голяма част от кода на Copay. Според разработчика на Viacoin обаче потребителите на портфейла не са засегнати от уязвимостта.

    Как е инфектирана библиотеката

    Как изобщо се е стигнало до това легитимна библиотека за Node.JS да съдържа зловреден код?

    Event-stream е създадена от разработчика Доминик Тар. Както става ясно от тази дискусия в GitHub, преди известно време с него се свързва непознат разработчик, известен засега само като right9ctrl, и предлага да поеме бъдещата разработка на библиотеката. Тар се съгласява.

    На 9 септември 2018 г. right9ctrl публикува версия 3.3.6 на event-stream. Според npmjs.com тя съдържа зловреден модул flatmap-stream, който таргетира определен тип потребители. „Кодът е написан с цел да събира данни и частни ключове от Copay портфейли, в които има повече от 100 биткойна или 1000 биткойн кеш“, коментират от npmjs.com.

    Съвети за разработчици

    Зловредната версия (3.3.6) на event-stream е свалена от npmjs.com. Ако сте я използвали във ваш проект, от npm съветват да обновите до най-новата версия.

  • ГДБОП съобщи за разбита група кибер престъпници и конфискувана криптовалута на стойност 5 млн. лв.

    Криптовалута на стойност 5 млн. лв. (3 млн. USD) е конфискувана при съвместна спецакция ГДБОП и Специализираната прокуратура, съобщиха от двете ведомства.

    Според официалното прессъобщение операцията е „без аналог в Европа и България“. В рамките на акцията са повдигнати обвинения на 3 български граждани.

    Обвиняемите са „действали изключително професионално и конспиративно,“ съобщават от ведомството.

    От съобщението не става ясно кога точно е извършена акцията и кога са извършени предполагаемите престъпления. По-рано през ноември във Варна беше арестуват руския гражданин Александър Ж. Заповедта му за арест е издадена в САЩ, а обвинението е за конспирация за извършване на компютърни измами, от които са нанесени щети в размер на поне 7 млн. USD. Престъплението е извършено в периода от септември 2014 год. до декември 2016 г. и е наказуемо в САЩ с лишаване от свобода до 20 години или с глоба, както и с двете.

    По време на акцията от тях са иззети компютри и флаш памети, хардуерни портфейли, тефтери с данни за множество акаунти на съществуващи и несъществуващи физически лица, които са били използвани в незаконната схема за придобиване на криптовалута. Конфискуван е и лек автомобил на стойност 60 000 лв., купен с пари от престъпната дейност.

    Досъдебното производство по случая е обpaзyвaнo в ĸpaя нa юни 2018 г.

    C oпpeдeлeниe нa Cпeциaлизиpaния нaĸaзaтeлeн cъд нa двaмa oт oбвинeнитe ca взeти мepĸи зa нeoтĸлoнeниe „Здъpжaнe пoд cтpaжa“. Ha тpeтия yчacтниĸ нaблюдaвaщият дeлoтo пpoĸypop oпpeдeли „Πapичнa гapaнция“ в paзмep нa 50 000 лeвa.

     

  • Невидим копач на криптовалути атакува Linux системи

    Хакерите могат да са особено изобретателни, когато стане дума за прикриване на следите. Компанията за информационна сигурност TrendMicro е открила малуер, който използва ресурсите на заразената машина, за да копае криптовалути. Необичайното е, че малуерът действа в комбинация с руткит, който скрива дейността на копача.

    Така за системния администратор не остава нищо друго освен да гледа в недоумение, докато системата работи на 100%, но той не може да установи кои процеси я натоварват.

    „Открихме софтуер за копаене на криптовалути, който нарекохме Coinminer.Linux.KORKERDS.AB, засягащ системи с Linux. Специфичното при него е, че се инсталира със собствен руткит, който скрива зловредните процеси. Това го прави труден за засичане, тъй като инфектираната система показва единствено признаци на забавяне“, коментират от TrendMicro.

    С помощта на шел скриптове копачът се качва на системата, където се записва като /tmp/kworkerds. Отделно от това на системата се инсталира и руткит, който скрива дейността на малуера. Ако системният администратор реши да анализира работещите процеси преди инсталирането на руткита, той ще види, че /tmp/kworkerds натоварва процесора на 100%.

    След инсталирането на руткита обаче процесът става невидим, въпреки че системата продължава да показва 100% натовареност на процесора.

    Как да се предпазите

    Засега не е ясно как малуерът попада в заразената машина. Предположението на анализаторите е, че това става с инсталирането на  компрометиран софтуер или плъгин. На базата на това предположение те дават следните препоръки:

    • Избягвайте да използвате непознати библиотеки или хранилища за софтуер;
    • Използвайте антивирусен софтуер;
    • Налагайте политики за достъп и мониторинг на системата;
    • Редовно обновявайте операционната система;
    • Използвайте системи за откриване и предотвратяване на атаки (Intrusion Detection System, Intrusion Prevention System);

    Копачите на криптовалути са популярен инструмент за правене на пари, особено след като в края на 2017 г. стойността на биткойн и другите криптовалути достигнаха рекордни нива. Въпреки че не вредят пряко – няма криптирани файлове и инфектираната машина продължава да си работи – те все пак нанасят щети.

    Този вид малуер може бързо да амортизира информационните ресурси на една фирма и да надуе сметката за електричество. Затова той не бива да бъде подценяван.

     

  • Хакери са източвали борса за криптовалути през компромeтиран брояч на посещения

    Хакери са източвали дигитални портфейли от борсата за криптовалути gate.io. Според компанията за киберсигурност ESET това е станало чрез компрометиране на брояча StatCounter, който се използва от сайта на борсата.

    StatCounter е популярен иструмент за измерване на трафика на сайтове. Според сaмата платформа StatCounter се използва от около 2 млн. уебмастъри по света. Борсата gate.io също използва този брояч.

    Промъкване през задния вход

    Вместо да атакуват директно сайта на gate.io, хакерите са се вмъкнали през задния вход – в случая през брояча на сайта.

    За да използва StatCounter, уебмастърът трябва да добави в сайта си JavaScript код. Хакерите са успели да компрометират този код и да добавят в него свой собствен.

    Когато потребител на gate.io иска да прави трансфери към други биткойн адреси, той отива на страница с адрес: https://www.gate.io/myaccount/withdraw/BTC. Зловреденият код засича, когато това се случи, и се активира.

    Работата му е да замени оригиналния биткойн адрес, към който потребителят иска да направи трансакция, с биткойн адрес, който се притежава от хакерите.

    Как протича атаката

    1.Потребителят зарежда страницата, от която ще прави трансакция;

    2. Зловредният код подменя адреса, към който ще се изпраща сумата, с адрес, който се контролира от хакерите. При всяко зареждане на скрипта се зарежда нов биткойн адрес. Така е по-трудно да се проследи общият размер на сумата, източена от портфейлите до момента;

    3.Зловредният код проверява каква сума планира да трансферира потребителят. Той може да променя сумата, така че да достигне дневния допустим лимит.

    „Не знаем колко биткойни са откраднати по време на тази атака. Но тя показва, че организаторите й са готови да стигнат далеч, за да постигнат целта си. Те първо компрометират платформа за измерване на интернет трафик, за д амогат след това да пробият и борса за криптовалути“, коментират от ESET.

    По данни на компанията дневно в geto.io се правят трансакции в биткойн на стойност 1.6 млн. долара

     

  • Добавки за плейъра Kodi разпространяват копач на криптовалути

    Хранилището за Kodi добавки XvMBC е било експлоатирано за кампания копаене на криптовалути, показват резултатите от проучване на компанията за киберсигурност ESET.

    Какво е Kodi?

    Kodi е плейър за стрийминг на видео, чиято популярност расте, включително и в България.По последни данни от края на 2017 г. то има над 40 млн. активни потребителя, от които 19 млн. са активни всеки месец.

    Kodi предоставя на потребителите си платформа за гледане на стрийминг съдържание. Само по себе си, обаче, приложението не позволява гледането на сериали, мачове и др. – за целта потребителите трябва да изтеглят добавки като Bubbles и Gaia, които предоставят съдържанието до устройствата им.

    Как работи експлойта

    Платформата е използвана за разпространяване на заразени добави за плейъра – Bubbles и Gaia – популярни сред феновете на филми и сериали. Българските потребители не са пострадали в значима степен, но за сметка на това съседна Гърция се нарежда в топ 5 на засегнатите от кампанията страни.

    Освен официалното хранилище за добавки към Kodi съществуват и много неофициални такива (така, както освен официалния магазин Google Play съществуват много неофициални хранилища за приложения за Android).

    В неофициалните хранилища често могат да се намерят добавки, които предоставят пиратско съдържание – например безплатен достъп до платени телевизионни канали. Подобен е и случаят с XvBMC.

    Именно затова холандската асоциация за борба с пиратското съдържание BREIN (Bescherming Rechten Entertainment Industrie Nederland) заведе дело срещу собственика на хранилището и го осъди, принуждавайки го да свали хранилището от интернет.

    “Според нашето проучване зловредният код в хранилището XvMBC се е появил най-напред в добавките Bubbles и Gaia – съответно през декември 2017 и януари 2018 г. Оттам той достига до нищо неподозиращите потребители чрез обновяване на добавки или билдове (пакет от много добавки) и се разпространява в екосистемата на Kodi”, посочват от ESET. От компанията допълват, че това е първият пулично известен случай на копач на криптовалути, който се разпространява чрез добавки за Kodi. Той засяга както устройства с Windows, така и такива с Linux.

    Как да проверите дали устройството ви е засегнато от кампанията

    Първоизточниците на кампанията вече са свалени, но това не означава, че сте в безопасност. Възможно е те да са били част от билд, който сте свалили. Копия на самите добавки все още могат да се намерят в интернет според ESET.

    Ако използвате Kodi, най-подходящото решение да проверите дали копачът на криптовалути ви е засегнал, е да сканирате устройството си с антивирусен софтуер.

  • Скрити копачи на криптовалути стават все по-често срещани при мобилните устройства

    Ако последните 2 години бяха белязани от главоломен ръст на криптовируите, то 2018 г. е подвластна на нова тенденция – скритото копаене на криптовалути. Скрито, защото става без ясното знание на засегнатите потребители, чийто компютри – а вече все по-често и мобилни телефони – са използвани за „добив“ на криптовалути.

    В числа – статистиката показва, че от началото на годината засечените подобни атаки срещу различни сайтове са се увеличили с 27%, а за мобилни устройства – с 4000%.

    Как работят?

    Целта на cryptojacking атаките не е да криптират файловете ви или да ви попречат да работите с устройството си, а точно обратното – те разчитат на постоянната работа на телефона или таблета ви. Това се дължи на факта, че тези вируси прикрито „копаят“ криптовалути в полза на атакуващия.

    Вижте още: Как вашият сървър (или сайт) прави пари за хакерите

    В нормални обстоятелства, добивът на криптовалута се осъществява чрез множество отделни (специализирани) процесори, които комбинират изчислителната си мощ. Cryptojacking операциите наподобяват това като комбинират множество заразени устройства – колкото повече, толкова по-големи приходи. Най-често жертви на такива вируси стават потребителите на Android устройства, тъй като контролът при пазарът за приложения не е толкова строг, колкото при iOS.

    Напоследък феноменът се разраства при мобилните устройства с притесняващи темпове. Доказателство за това е скорошното разкритие на ESET, че популярната игра Bug Smasher (около 5 милиона сваляния) е включвала прикрит cryptojacker. Въпреки че не са толкова мощни, мобилните устройства са атрактивна цел по няколко очевидни причини. Замислете се, като начало: колко приложения, които не използвате стоят на телефона ви?

    Как да открием, че сме заразени

    При прекомерно агресивно присъствие на cryptojacker-и, телефонът ви може да не само да се нагрява и бави ненужно, но и батерията ви може да бъде повредена заради постоянното и прекалено бързо разреждане.

  • Топ 6 инструмента, използвани от хакерите за кражба на криптовалута.

    Опитите за кражба на криптовалути стават все повече и все по-чести. Последният по-сериозен пример до момента е атака от началото на юли месец, в която са били спрени над 2.3 млн. опита за подмяна на информация за притежатели на криптовалути през един от сайтовете посредници.

    Защо? Защото само за година Bitcoin е увеличил стойността си повече от 3 пъти и към 31 юли се продава срещу 8,155.24 USD. Как всъщност се крадат криптовалути и как да предпазите своя портфейл?

    В долните редове може да се запознаете с 6-те най-използваните метода.

     1. Приложения от Google Play и Apple App Store

    Особено характерно за потребителите на смартфони, които не се защитават адекватно, е да станат жертви на измамни приложения. Те изглеждат сякаш идват от определени крипто организации – Coin Miner, Eth Miner и др. При стартирането на приложението от потребителят се изисква да въведе чувствителните си данни, за да получи достъп до своите профили и по този начин дава достъп на хакерите до профила си.

    2. Ботовете в Slack

    Slack ботове, които се използват за кражба на криптовалута, се превърнаха в най-бързо развиващата се и използвана система от измамниците. Тази атака се осъществява посредством бот, който изпраща уведомление към потребителите за даден проблем с техния криптопортфейл.
    Когато потребителят последва линка, той трябва да въведе частния си ключ за достъп до криптопортфейла – и го отваря за кражба.

    Прочетете повече от какво и как да защитите Android устройството си.

    3. Add-ons и Pop-ups за криптотърговия

    Повечето браузъри днес предлагат персонализиране на потребителския интерфейс за по-удобна работа с криптопортфейли и обмен на валути. Проблемът е, че някои тези добавки са силно уязвими към хакерски атаки. Голяма част от тези разширения могат да се използват и за скрито копаене на валути, което използва ресурсите на компютъра ви и често остава незабележимо.

    4. Автентикация чрез SMS 

    По-голяма част от потребителите избират да използват мобилна автентикация, тъй като смартфонът е винаги в джоба им. SMS съобщенията се изпращат навсякъде по света чрез протокола Signaling System 7 (SS7). Специалисти демонстрираха прихващането на текстови съобщения, използвайки свой собствен изследователски инструмент, който използва слабостите за прихващане на този тип трафик . Демонстрацията беше направена, използвайки сметки на Coinbase, шокирайки потребители на борсата. Това доказва, че дори и 2FA чрез SMS не ви дава пълна безопасност.

    5. Публични Wi-Fi мрежи

    Никога не правете важни транзакции през публична мрежа, дори и да използвате най-сигурния VPN. Кракването на WiFi защита е особено наболяла тема, тъй като до голяма степен, все още се използват остарели защитни стандарти. В новите пък, биват открити уязвимости, като добър приер за това е Krack атаката, която позволява на външен потребител да шпионира трафика на мрежата, без да е в нея.

    6. Клониране на сайт

    Въпреки че, част от описаните до момента методи са до някаква степен базирани на този, добрия стар чист фишинг продължава да е главозамайващо ефективен. При този тип атака се клонира или изработва страница, която изисква въвеждането на лични данни. В последствие, потребителите биват привлечени към нея по един или друг начин, а всеки, който въведе данните си може да се сбогува с каквато и наличност да има в криптопортфейла си.

    Добрата новина е, че намирането на пробойни в потребителската защита става все по-трудно, тъй като не само услугите се усъвършенстват, но и самите потребители. Все повече хора използват многослойна автентикация и антивирусен софтуер, който предпазва от конвенционални атаки. Фокусът на хакерите вече се измества към създаването и разпространението на код, който копае валути в тяхна полза чрез чужди машини.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Back to top button
Close
Close