Криптовалути

  • Хакнаха софтуерното ограничение на RTX 3000

    Наскоро Nvidia лимитира възможностите на новите видео карти от серията RTX 3000 да копаят криптовалути.

    Още щом компанията обяви, че налага „hash rate” ограничение, което не може да бъде премахнато, беше ясно, че е въпрос на време това да се случи.

    Майнинг Youtuber Brandon Coin е намерил начин да заобиколи лимитирането на производителността на RTX 3060, като е използвал собствените драйвери на Nvidia (версия 470.05).

    Така картата може да достигне 40-45 MH/s, което е почти двойно над ограничението, наложено от наличните драйвери на Nvidia.

    Майнърите предпочитат RTX 3000

    Това са най-търсените и най-трудни за намиране видео карти в момента на пазара. Факт е, че RTX 3000  серията отбеляза голям скок в изчислителна мощност, сравнено с предишните две генерации.

    Nividia имат специални видео карти, създадени за копаене на криптовалута (https://www.nvidia.com/en-us/cmp/). Те обаче не са толкова популярни, защото не могат да бъдат използвани за нищо друго, напр. рендъринг, гейминг, и т.н. А и производителността им е лимитирана.

    Освен това, доста от копачите на криптовалути препродават вече използваните видео карти на доста ниски цени. Това насища пазара с евтин продукт, с който всеки може да се снабди и да използва сравнително успешно ако няма намерение да го товари много.

    Всички ние, обикновените потребители, можем само да изчакаме и да видим какъв ще е ходът на Nvidia по отношение на RTX 3070 и 3080 и дали ще предложат още един „непробиваем“ софтуер.

  • 49 разширения на Chrome крадат криптиовалути

    Google спря принудително 49 разширения а браузъра си Chrome заради кражба на криптовалути от потребители.

    Самите добавки са маскирани като портфейли за криптовалути – т.е. съхраняват криптовалутите на потребителите си. Казусът със самите приложения е, че в действителност те крадат частни ключове и друга чувствителна информация и я препращат на създателите си. Това може да доведе до кражба на криптовалутите от потребителите.

    Някои от свалените добавки за Chrome са били налични от февруари 2020 г.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Вирус под наем засяга над 60 приложения, сред които най-популярните браузъри

    Последен ъпдейт на 4 май 2020 в 11:59 ч.

    Вирусът Raccoon впечатли света на киберсигурността с бизнес модела, който стои зад него. Софтуерът се предлага под наем срещу 200 USD на месец, срещу които „клиентите“ получават поддръжка, коригиране на бъгове и ъпдейти на функционалностите му.
    Това, отчасти, показва и защо той засяга над 60 различни приложения, сред които повече от 35 браузъра. Най-често вирусът стига до жертвите си посредством фишинг кампании с Microsoft Office документи. Сред функционалностите му са кражба на финансова информация, криптовалути, бисктвикти, история на сърфирането на данни, съхранявани във функциите за автоматично попълване на форми в браузърите.
    Сред основните цели на Raccoon са Google Chrome, Internet Explorer, Microsoft Edge и Firefox.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Android вирус краде криптовалути през клипборда на жертвите си

    За по-високо ниво на защита, адресите на онлайн портфейлите с криптовалути се състоят от дълги стрингове букви, числа и специални символи. Затова, вместо да ги изписват на ръка, потребителите обикновено копират и поставят адресите през клипборда на устройствата, с които работят.

    Именно на този поведенчески модел разчита и новото поколение зловредни кодове, наречено „clipper“ (клипъри). Те следят съдържанието на клипборда на заразените устройства и заменят определени поредици стрингове с такива, заложени от създателите на кодовете. Така, в случай, че потребителят иска да осъществи легитимна трансакция с криптовалута, може да се окаже, че копираният адрес на портфейл е този на създателя на вируса.

    Зловредният код е маскиран под формата на дубликат на легитимната услуга MetaMask

    С други думи, клиперите подменят адреса на портфейла от този на истинския получател на трансакция с този на създателите на вируса.

    Такъв тип вируси не са новост за Windows – Първите зловредни кодове от този тип за платформата датират от 2017 г., а през 2018 г. вече се засичат и за Android. През февруари 2019 г., обаче, клипърите вече са пробили път и могат да бъдат открити в Google Play, официалния магазин за Android приложения. Разкритието е дело на ESET и е засичано от приложенията на компанията с името Android/Clipper.C.

    Копирай и кради

    Зловредният код е маскиран под формата на дубликат на легитимната услуга MetaMask. Основната му цел е да открадне идентификационните данни на потребителя и частните му ключове, за да присвои контрол върху Etherium портфейла му. Освен това, той заменя и легитимни адреси на Bitcoin или Ethereum портфейли, копирани в клипборда, с тези на създателите на зловредния код.

    ESET разкриват Android/Clipper.C малко след дебюта му в Google Play на 1 февруари. След контакт с екипа за сигурност на Google Play, приложението вече е премахнато.

    АТаката е насочена срещу потребителите на услугата MetaMask service, която е създадена с идеята да стартира децентрализирани Etherium приложения в браузъра, без да се налага стартирането на пълна Eherium инстанция. Уловката в случая е, че услугата няма мобилно приложение – само допълнения за десктоп версиите на браузъри като Chrome и Firefox.

    Това не е и първият път, в който MetaMask е жертва на опит за копиране. До момента обаче, името на компанията е използвано предимно с фишинг цели – и опит за кражба на потребителски имена и пароли, чрез които да бъде откраднат достъпа до портфейлите на жертвите.

    Как да се защитите:

    • Ъпдейтвайте Android устройствата си и използвайте ефективно решение за антивирусна защита за Android
    • Сваляйте приложения само от Google Play – но винаги имайте едно на ум, защото, видимо и неговата защита може да бъде преодолявана
    • Винаги проверявайте официалните сайтове на приложенията, които сваляте, и услугите, които стоят зад тях – защото, видимо, и легитимните приложения могат да станат жертва на копиране
    • Проверявайте всяка стъпка във всяка трансакция, в която е замесено нещо ценно за вас. Като използвате клипборда, винаги сравнявайте дали поставения текст е същия като копирания от вас

     

  • Делът на cryptojacking атаките е намалял значително в края на 2018

    Делът на засечените cryptojacking атаки е намалял двойно през последното тримесечие на 2018 г., показват данните от анализ на компанията за информационна сигурност Webroot. Вероятно това се дължи на общия спад в стойността на криптовалутите и в частност на монеро, която обикновено се генерира в cryptojacking кампании.

    През септември 2018 г. делът на зловредните URL адреси, водещи към копачи за криптовалути, е бил над 10%. Само три месеца по-късно този дял вече намалява към 5%. „Светът на криптовалутите преживя бурен период. Възможно е намаляващите cryptojacking атаки да се дължат на сриващите се цени на криптовалутите. Възможно е да се дължи и на факта, че потребителите започват да вземат превантивни мерки“, коментират от Webroot.

    Срив на криптовалутите

    Цената на монеро надхвърли 450 долара през януари 2018 г. и след това започна да пада, понижавайки се до едва 46 долара към края на декември 2018 г. Срина се и общата пазарна капитализация на криптовалутите.

    Монеро е основната валута, която се генерира от cryptojacking атаки. Падащата й цена означава, че е много по-неизгодно да се осъществяват такива атаки, тъй като те носят все по-малко доходност.

    Идва ли краят на cryptojacking атаките?

    Според Келвин Мъри е малко вероятно това да се случи скоро. „Криптовалутите и зловредното копаене на валути няма да изчезнат. Дори и след отчетения спад 2018 може да се определи като година, през която криптопрестъпленията нараснаха… Всяко незаконно копаене на криптовалути може да доведе до високи сметки за ток и главоболия за потребителите“, казва Мъри.

    Съвети за потребители

    • Обновявайте постоянно. Това важи както за операционната система и за антивирусната програма, така и за фърмуера на рутера;
    • Следете в каква степен браузърът ви натоварва процесора. Твърде голямо натоварване може да означава cryptojacking атака;
    • Следете за внезапни ръстове в натоварването на процесора. Ако има такива, сканирайте устройството с подходящо антивирусно решение;
    • Защитете вашия RDP;
  • Койнмайнърите са най-популярната онлайн заплаха в света през 2018 г.

    Койнмайнърите са окупирали челната тройка в Global Threat Index – класация на най-често засичаните форми на малуер, която се публикува от Check Point.

    За 13-и пореден месец лидер в класацията е Coinhive. Това е най-популярният код за копаене на криптовалути в света. Coinhive засяга около 12% от организациите по света според Check Point. Следват го койнмайнърите XMRig (8% от институциите) и JSEcoin (7%).

    „Организациите продължават да са цел на койнмайнърите. Това се случва, въпреки че цените на криптовалутите паднаха през 2018 г.“, коментират от компанията.

    Атаките с койнмайнъри, или cryptojacking атаки, са донесли на своите организатори над 143 млн. долара според прогноза на Palo Alto Networks. Само в региона на Близкия изток, Турция и Африка са засечени 13 млн. опита за атаки с койнмайнъри през 2018 г. според статистиката на Kaspersky. Това е четирикратно увеличение спрямо предходната година.

    Пораженията от повечето форми на малуер се виждат веднага. Вредата от койнмайнърите обаче остава скрита за бизнеса и индивидуалните потребители. Което не означава, че не съществува. Кодовете за копане на криптовалути могат да амортизират информационните системи във фирмата. Те могат да увеличат разходите за тяхната поддръжка, да раздуят сметките за ток.

    Затова койнмайнърите се считат за по-безопасни и доходоносни форми на малуер от компютърните престъпници. Това обяснява и огромната им популярност през 2018 г.

    Ако искате да се предпазите от този нов и популярен тип заплаха, прочетете нашия съветник „Пет начина да намалите рисковете от cryptojacking атаки“.

     

  • Популярна библиотека за Node.JS е била инфектирана с малуер за източване на биткойн портфейли

    Библиотека за Node.JS е била инфектирана с малуер за източване на биткойн портфейли. Кодът е останал незабелязан в продължение на поне 2 месеца в библиотека, която има почти 2 млн. сваляния седмично.

    Става дума за event-stream, която се използва от поне два биткойн портфейла – Copay и BitPay. Именно тези два портфейла са основната цел на малуера според npmjs.org – хранилище, което хоства event-stream.

    Библиотеката се използва от мобилните и настолните приложения на Copay и BitPay. Едноименният разработчик вече съобщи, че BitPay не е уязвим към зловредния код. Copay обаче е уязвим и в момента се преценява дали има пострадали потребители.

    „Ако използвате Copay версия от 5.0.2 до 5.1.0, не отваряйте и не стартирайте приложението. Подготвяме защитена версия  5.2.0, която ще е достъпна за потребителите. Те трябва да знаят, че  е възможно частните ключове на засегнатите портфейли да са компрометирани. Потребителите трябва незабавно да преместят парите си към нови портфейли, използвайки версия 5.2.0“, коментират от BitPay.

    Обновете портфейла си

    Компанията препоръчва на потребителите най-напред да обновят приложението си до най-новата безопасна версия, след което да създадат нов портфейл и да трансферират към него парите си от стария портфейл.

    Viacoin, която разработва портфейл за криптовалути, също излезе с изявление по случая. Причината е, че Viacoin използва голяма част от кода на Copay. Според разработчика на Viacoin обаче потребителите на портфейла не са засегнати от уязвимостта.

    Как е инфектирана библиотеката

    Как изобщо се е стигнало до това легитимна библиотека за Node.JS да съдържа зловреден код?

    Event-stream е създадена от разработчика Доминик Тар. Както става ясно от тази дискусия в GitHub, преди известно време с него се свързва непознат разработчик, известен засега само като right9ctrl, и предлага да поеме бъдещата разработка на библиотеката. Тар се съгласява.

    На 9 септември 2018 г. right9ctrl публикува версия 3.3.6 на event-stream. Според npmjs.com тя съдържа зловреден модул flatmap-stream, който таргетира определен тип потребители. „Кодът е написан с цел да събира данни и частни ключове от Copay портфейли, в които има повече от 100 биткойна или 1000 биткойн кеш“, коментират от npmjs.com.

    Съвети за разработчици

    Зловредната версия (3.3.6) на event-stream е свалена от npmjs.com. Ако сте я използвали във ваш проект, от npm съветват да обновите до най-новата версия.

  • ГДБОП съобщи за разбита група кибер престъпници и конфискувана криптовалута на стойност 5 млн. лв.

    Криптовалута на стойност 5 млн. лв. (3 млн. USD) е конфискувана при съвместна спецакция ГДБОП и Специализираната прокуратура, съобщиха от двете ведомства.

    Според официалното прессъобщение операцията е „без аналог в Европа и България“. В рамките на акцията са повдигнати обвинения на 3 български граждани.

    Обвиняемите са „действали изключително професионално и конспиративно,“ съобщават от ведомството.

    От съобщението не става ясно кога точно е извършена акцията и кога са извършени предполагаемите престъпления. По-рано през ноември във Варна беше арестуват руския гражданин Александър Ж. Заповедта му за арест е издадена в САЩ, а обвинението е за конспирация за извършване на компютърни измами, от които са нанесени щети в размер на поне 7 млн. USD. Престъплението е извършено в периода от септември 2014 год. до декември 2016 г. и е наказуемо в САЩ с лишаване от свобода до 20 години или с глоба, както и с двете.

    По време на акцията от тях са иззети компютри и флаш памети, хардуерни портфейли, тефтери с данни за множество акаунти на съществуващи и несъществуващи физически лица, които са били използвани в незаконната схема за придобиване на криптовалута. Конфискуван е и лек автомобил на стойност 60 000 лв., купен с пари от престъпната дейност.

    Досъдебното производство по случая е обpaзyвaнo в ĸpaя нa юни 2018 г.

    C oпpeдeлeниe нa Cпeциaлизиpaния нaĸaзaтeлeн cъд нa двaмa oт oбвинeнитe ca взeти мepĸи зa нeoтĸлoнeниe „Здъpжaнe пoд cтpaжa“. Ha тpeтия yчacтниĸ нaблюдaвaщият дeлoтo пpoĸypop oпpeдeли „Πapичнa гapaнция“ в paзмep нa 50 000 лeвa.

     

  • Невидим копач на криптовалути атакува Linux системи

    Хакерите могат да са особено изобретателни, когато стане дума за прикриване на следите. Компанията за информационна сигурност TrendMicro е открила малуер, който използва ресурсите на заразената машина, за да копае криптовалути. Необичайното е, че малуерът действа в комбинация с руткит, който скрива дейността на копача.

    Така за системния администратор не остава нищо друго освен да гледа в недоумение, докато системата работи на 100%, но той не може да установи кои процеси я натоварват.

    „Открихме софтуер за копаене на криптовалути, който нарекохме Coinminer.Linux.KORKERDS.AB, засягащ системи с Linux. Специфичното при него е, че се инсталира със собствен руткит, който скрива зловредните процеси. Това го прави труден за засичане, тъй като инфектираната система показва единствено признаци на забавяне“, коментират от TrendMicro.

    С помощта на шел скриптове копачът се качва на системата, където се записва като /tmp/kworkerds. Отделно от това на системата се инсталира и руткит, който скрива дейността на малуера. Ако системният администратор реши да анализира работещите процеси преди инсталирането на руткита, той ще види, че /tmp/kworkerds натоварва процесора на 100%.

    След инсталирането на руткита обаче процесът става невидим, въпреки че системата продължава да показва 100% натовареност на процесора.

    Как да се предпазите

    Засега не е ясно как малуерът попада в заразената машина. Предположението на анализаторите е, че това става с инсталирането на  компрометиран софтуер или плъгин. На базата на това предположение те дават следните препоръки:

    • Избягвайте да използвате непознати библиотеки или хранилища за софтуер;
    • Използвайте антивирусен софтуер;
    • Налагайте политики за достъп и мониторинг на системата;
    • Редовно обновявайте операционната система;
    • Използвайте системи за откриване и предотвратяване на атаки (Intrusion Detection System, Intrusion Prevention System);

    Копачите на криптовалути са популярен инструмент за правене на пари, особено след като в края на 2017 г. стойността на биткойн и другите криптовалути достигнаха рекордни нива. Въпреки че не вредят пряко – няма криптирани файлове и инфектираната машина продължава да си работи – те все пак нанасят щети.

    Този вид малуер може бързо да амортизира информационните ресурси на една фирма и да надуе сметката за електричество. Затова той не бива да бъде подценяван.

     

  • Хакери са източвали борса за криптовалути през компромeтиран брояч на посещения

    Хакери са източвали дигитални портфейли от борсата за криптовалути gate.io. Според компанията за киберсигурност ESET това е станало чрез компрометиране на брояча StatCounter, който се използва от сайта на борсата.

    StatCounter е популярен иструмент за измерване на трафика на сайтове. Според сaмата платформа StatCounter се използва от около 2 млн. уебмастъри по света. Борсата gate.io също използва този брояч.

    Промъкване през задния вход

    Вместо да атакуват директно сайта на gate.io, хакерите са се вмъкнали през задния вход – в случая през брояча на сайта.

    За да използва StatCounter, уебмастърът трябва да добави в сайта си JavaScript код. Хакерите са успели да компрометират този код и да добавят в него свой собствен.

    Когато потребител на gate.io иска да прави трансфери към други биткойн адреси, той отива на страница с адрес: https://www.gate.io/myaccount/withdraw/BTC. Зловреденият код засича, когато това се случи, и се активира.

    Работата му е да замени оригиналния биткойн адрес, към който потребителят иска да направи трансакция, с биткойн адрес, който се притежава от хакерите.

    Как протича атаката

    1.Потребителят зарежда страницата, от която ще прави трансакция;

    2. Зловредният код подменя адреса, към който ще се изпраща сумата, с адрес, който се контролира от хакерите. При всяко зареждане на скрипта се зарежда нов биткойн адрес. Така е по-трудно да се проследи общият размер на сумата, източена от портфейлите до момента;

    3.Зловредният код проверява каква сума планира да трансферира потребителят. Той може да променя сумата, така че да достигне дневния допустим лимит.

    „Не знаем колко биткойни са откраднати по време на тази атака. Но тя показва, че организаторите й са готови да стигнат далеч, за да постигнат целта си. Те първо компрометират платформа за измерване на интернет трафик, за д амогат след това да пробият и борса за криптовалути“, коментират от ESET.

    По данни на компанията дневно в geto.io се правят трансакции в биткойн на стойност 1.6 млн. долара

     

Back to top button