Криптовалути

Google спря принудително 49 разширения а браузъра си Chrome заради кражба на криптовалути от потребители.

Самите добавки са маскирани като портфейли за криптовалути – т.е. съхраняват криптовалутите на потребителите си. Казусът със самите приложения е, че в действителност те крадат частни ключове и друга чувствителна информация и я препращат на създателите си. Това може да доведе до кражба на криптовалутите от потребителите.

Някои от свалените добавки за Chrome са били налични от февруари 2020 г.

[button color=“green“ size=“big“ link=“https://thehackernews.com/2020/04/chrome-cryptocurrency-extensions.html“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 4 май 2020 в 11:59 ч.

Вирусът Raccoon впечатли света на киберсигурността с бизнес модела, който стои зад него. Софтуерът се предлага под наем срещу 200 USD на месец, срещу които „клиентите“ получават поддръжка, коригиране на бъгове и ъпдейти на функционалностите му.
Това, отчасти, показва и защо той засяга над 60 различни приложения, сред които повече от 35 браузъра. Най-често вирусът стига до жертвите си посредством фишинг кампании с Microsoft Office документи. Сред функционалностите му са кражба на финансова информация, криптовалути, бисктвикти, история на сърфирането на данни, съхранявани във функциите за автоматично попълване на форми в браузърите.
Сред основните цели на Raccoon са Google Chrome, Internet Explorer, Microsoft Edge и Firefox.

[button color=“green“ size=“big“ link=“https://www.techradar.com/news/raccoon-malware-affects-all-browsers/“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

За по-високо ниво на защита, адресите на онлайн портфейлите с криптовалути се състоят от дълги стрингове букви, числа и специални символи. Затова, вместо да ги изписват на ръка, потребителите обикновено копират и поставят адресите през клипборда на устройствата, с които работят.

Именно на този поведенчески модел разчита и новото поколение зловредни кодове, наречено „clipper“ (клипъри). Те следят съдържанието на клипборда на заразените устройства и заменят определени поредици стрингове с такива, заложени от създателите на кодовете. Така, в случай, че потребителят иска да осъществи легитимна трансакция с криптовалута, може да се окаже, че копираният адрес на портфейл е този на създателя на вируса.

С други думи, клиперите подменят адреса на портфейла от този на истинския получател на трансакция с този на създателите на вируса.

Такъв тип вируси не са новост за Windows – Първите зловредни кодове от този тип за платформата датират от 2017 г., а през 2018 г. вече се засичат и за Android. През февруари 2019 г., обаче, клипърите вече са пробили път и могат да бъдат открити в Google Play, официалния магазин за Android приложения. Разкритието е дело на ESET и е засичано от приложенията на компанията с името Android/Clipper.C.

Копирай и кради

Зловредният код е маскиран под формата на дубликат на легитимната услуга MetaMask. Основната му цел е да открадне идентификационните данни на потребителя и частните му ключове, за да присвои контрол върху Etherium портфейла му. Освен това, той заменя и легитимни адреси на Bitcoin или Ethereum портфейли, копирани в клипборда, с тези на създателите на зловредния код.

ESET разкриват Android/Clipper.C малко след дебюта му в Google Play на 1 февруари. След контакт с екипа за сигурност на Google Play, приложението вече е премахнато.

АТаката е насочена срещу потребителите на услугата MetaMask service, която е създадена с идеята да стартира децентрализирани Etherium приложения в браузъра, без да се налага стартирането на пълна Eherium инстанция. Уловката в случая е, че услугата няма мобилно приложение – само допълнения за десктоп версиите на браузъри като Chrome и Firefox.

Това не е и първият път, в който MetaMask е жертва на опит за копиране. До момента обаче, името на компанията е използвано предимно с фишинг цели – и опит за кражба на потребителски имена и пароли, чрез които да бъде откраднат достъпа до портфейлите на жертвите.

Как да се защитите:

• Ъпдейтвайте Android устройствата си и използвайте ефективно решение за антивирусна защита за Android
• Сваляйте приложения само от Google Play – но винаги имайте едно на ум, защото, видимо и неговата защита може да бъде преодолявана
• Винаги проверявайте официалните сайтове на приложенията, които сваляте, и услугите, които стоят зад тях – защото, видимо, и легитимните приложения могат да станат жертва на копиране
• Проверявайте всяка стъпка във всяка трансакция, в която е замесено нещо ценно за вас. Като използвате клипборда, винаги сравнявайте дали поставения текст е същия като копирания от вас

 

Делът на засечените cryptojacking атаки е намалял двойно през последното тримесечие на 2018 г., показват данните от анализ на компанията за информационна сигурност Webroot. Вероятно това се дължи на общия спад в стойността на криптовалутите и в частност на монеро, която обикновено се генерира в cryptojacking кампании.

През септември 2018 г. делът на зловредните URL адреси, водещи към копачи за криптовалути, е бил над 10%. Само три месеца по-късно този дял вече намалява към 5%. „Светът на криптовалутите преживя бурен период. Възможно е намаляващите cryptojacking атаки да се дължат на сриващите се цени на криптовалутите. Възможно е да се дължи и на факта, че потребителите започват да вземат превантивни мерки“, коментират от Webroot.

Срив на криптовалутите

Цената на монеро надхвърли 450 долара през януари 2018 г. и след това започна да пада, понижавайки се до едва 46 долара към края на декември 2018 г. Срина се и общата пазарна капитализация на криптовалутите.

Монеро е основната валута, която се генерира от cryptojacking атаки. Падащата й цена означава, че е много по-неизгодно да се осъществяват такива атаки, тъй като те носят все по-малко доходност.

Идва ли краят на cryptojacking атаките?

Според Келвин Мъри е малко вероятно това да се случи скоро. „Криптовалутите и зловредното копаене на валути няма да изчезнат. Дори и след отчетения спад 2018 може да се определи като година, през която криптопрестъпленията нараснаха… Всяко незаконно копаене на криптовалути може да доведе до високи сметки за ток и главоболия за потребителите“, казва Мъри.
[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребители

• Обновявайте постоянно. Това важи както за операционната система и за антивирусната програма, така и за фърмуера на рутера;
• Следете в каква степен браузърът ви натоварва процесора. Твърде голямо натоварване може да означава cryptojacking атака;
• Следете за внезапни ръстове в натоварването на процесора. Ако има такива, сканирайте устройството с подходящо антивирусно решение;
• Защитете вашия RDP;

[/box]

Койнмайнърите са окупирали челната тройка в Global Threat Index – класация на най-често засичаните форми на малуер, която се публикува от Check Point.

За 13-и пореден месец лидер в класацията е Coinhive. Това е най-популярният код за копаене на криптовалути в света. Coinhive засяга около 12% от организациите по света според Check Point. Следват го койнмайнърите XMRig (8% от институциите) и JSEcoin (7%).

„Организациите продължават да са цел на койнмайнърите. Това се случва, въпреки че цените на криптовалутите паднаха през 2018 г.“, коментират от компанията.

Атаките с койнмайнъри, или cryptojacking атаки, са донесли на своите организатори над 143 млн. долара според прогноза на Palo Alto Networks. Само в региона на Близкия изток, Турция и Африка са засечени 13 млн. опита за атаки с койнмайнъри през 2018 г. според статистиката на Kaspersky. Това е четирикратно увеличение спрямо предходната година.

Пораженията от повечето форми на малуер се виждат веднага. Вредата от койнмайнърите обаче остава скрита за бизнеса и индивидуалните потребители. Което не означава, че не съществува. Кодовете за копане на криптовалути могат да амортизират информационните системи във фирмата. Те могат да увеличат разходите за тяхната поддръжка, да раздуят сметките за ток.

Затова койнмайнърите се считат за по-безопасни и доходоносни форми на малуер от компютърните престъпници. Това обяснява и огромната им популярност през 2018 г.

Ако искате да се предпазите от този нов и популярен тип заплаха, прочетете нашия съветник „Пет начина да намалите рисковете от cryptojacking атаки“.

 

Библиотека за Node.JS е била инфектирана с малуер за източване на биткойн портфейли. Кодът е останал незабелязан в продължение на поне 2 месеца в библиотека, която има почти 2 млн. сваляния седмично.

Става дума за event-stream, която се използва от поне два биткойн портфейла – Copay и BitPay. Именно тези два портфейла са основната цел на малуера според npmjs.org – хранилище, което хоства event-stream.

Библиотеката се използва от мобилните и настолните приложения на Copay и BitPay. Едноименният разработчик вече съобщи, че BitPay не е уязвим към зловредния код. Copay обаче е уязвим и в момента се преценява дали има пострадали потребители.

„Ако използвате Copay версия от 5.0.2 до 5.1.0, не отваряйте и не стартирайте приложението. Подготвяме защитена версия  5.2.0, която ще е достъпна за потребителите. Те трябва да знаят, че  е възможно частните ключове на засегнатите портфейли да са компрометирани. Потребителите трябва незабавно да преместят парите си към нови портфейли, използвайки версия 5.2.0“, коментират от BitPay.

Обновете портфейла си

Компанията препоръчва на потребителите най-напред да обновят приложението си до най-новата безопасна версия, след което да създадат нов портфейл и да трансферират към него парите си от стария портфейл.

Viacoin, която разработва портфейл за криптовалути, също излезе с изявление по случая. Причината е, че Viacoin използва голяма част от кода на Copay. Според разработчика на Viacoin обаче потребителите на портфейла не са засегнати от уязвимостта.

Как е инфектирана библиотеката

Как изобщо се е стигнало до това легитимна библиотека за Node.JS да съдържа зловреден код?

Event-stream е създадена от разработчика Доминик Тар. Както става ясно от тази дискусия в GitHub, преди известно време с него се свързва непознат разработчик, известен засега само като right9ctrl, и предлага да поеме бъдещата разработка на библиотеката. Тар се съгласява.

На 9 септември 2018 г. right9ctrl публикува версия 3.3.6 на event-stream. Според npmjs.com тя съдържа зловреден модул flatmap-stream, който таргетира определен тип потребители. „Кодът е написан с цел да събира данни и частни ключове от Copay портфейли, в които има повече от 100 биткойна или 1000 биткойн кеш“, коментират от npmjs.com.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за разработчици

Зловредната версия (3.3.6) на event-stream е свалена от npmjs.com. Ако сте я използвали във ваш проект, от npm съветват да обновите до най-новата версия.

[/box]

Криптовалута на стойност 5 млн. лв. (3 млн. USD) е конфискувана при съвместна спецакция ГДБОП и Специализираната прокуратура, съобщиха от двете ведомства.

Според официалното прессъобщение операцията е „без аналог в Европа и България“. В рамките на акцията са повдигнати обвинения на 3 български граждани.

Обвиняемите са „действали изключително професионално и конспиративно,“ съобщават от ведомството.

От съобщението не става ясно кога точно е извършена акцията и кога са извършени предполагаемите престъпления. По-рано през ноември във Варна беше арестуват руския гражданин Александър Ж. Заповедта му за арест е издадена в САЩ, а обвинението е за конспирация за извършване на компютърни измами, от които са нанесени щети в размер на поне 7 млн. USD. Престъплението е извършено в периода от септември 2014 год. до декември 2016 г. и е наказуемо в САЩ с лишаване от свобода до 20 години или с глоба, както и с двете.

По време на акцията от тях са иззети компютри и флаш памети, хардуерни портфейли, тефтери с данни за множество акаунти на съществуващи и несъществуващи физически лица, които са били използвани в незаконната схема за придобиване на криптовалута. Конфискуван е и лек автомобил на стойност 60 000 лв., купен с пари от престъпната дейност.

Досъдебното производство по случая е обpaзyвaнo в ĸpaя нa юни 2018 г.

C oпpeдeлeниe нa Cпeциaлизиpaния нaĸaзaтeлeн cъд нa двaмa oт oбвинeнитe ca взeти мepĸи зa нeoтĸлoнeниe „Здъpжaнe пoд cтpaжa“. Ha тpeтия yчacтниĸ нaблюдaвaщият дeлoтo пpoĸypop oпpeдeли „Πapичнa гapaнция“ в paзмep нa 50 000 лeвa.

 

Хакерите могат да са особено изобретателни, когато стане дума за прикриване на следите. Компанията за информационна сигурност TrendMicro е открила малуер, който използва ресурсите на заразената машина, за да копае криптовалути. Необичайното е, че малуерът действа в комбинация с руткит, който скрива дейността на копача.

Така за системния администратор не остава нищо друго освен да гледа в недоумение, докато системата работи на 100%, но той не може да установи кои процеси я натоварват.

„Открихме софтуер за копаене на криптовалути, който нарекохме Coinminer.Linux.KORKERDS.AB, засягащ системи с Linux. Специфичното при него е, че се инсталира със собствен руткит, който скрива зловредните процеси. Това го прави труден за засичане, тъй като инфектираната система показва единствено признаци на забавяне“, коментират от TrendMicro.

С помощта на шел скриптове копачът се качва на системата, където се записва като /tmp/kworkerds. Отделно от това на системата се инсталира и руткит, който скрива дейността на малуера. Ако системният администратор реши да анализира работещите процеси преди инсталирането на руткита, той ще види, че /tmp/kworkerds натоварва процесора на 100%.

След инсталирането на руткита обаче процесът става невидим, въпреки че системата продължава да показва 100% натовареност на процесора.

Как да се предпазите

Засега не е ясно как малуерът попада в заразената машина. Предположението на анализаторите е, че това става с инсталирането на  компрометиран софтуер или плъгин. На базата на това предположение те дават следните препоръки:

• Избягвайте да използвате непознати библиотеки или хранилища за софтуер;
• Използвайте антивирусен софтуер;
• Налагайте политики за достъп и мониторинг на системата;
• Редовно обновявайте операционната система;
• Използвайте системи за откриване и предотвратяване на атаки (Intrusion Detection System, Intrusion Prevention System);

Копачите на криптовалути са популярен инструмент за правене на пари, особено след като в края на 2017 г. стойността на биткойн и другите криптовалути достигнаха рекордни нива. Въпреки че не вредят пряко – няма криптирани файлове и инфектираната машина продължава да си работи – те все пак нанасят щети.

Този вид малуер може бързо да амортизира информационните ресурси на една фирма и да надуе сметката за електричество. Затова той не бива да бъде подценяван.

 

Хакери са източвали дигитални портфейли от борсата за криптовалути gate.io. Според компанията за киберсигурност ESET това е станало чрез компрометиране на брояча StatCounter, който се използва от сайта на борсата.

StatCounter е популярен иструмент за измерване на трафика на сайтове. Според сaмата платформа StatCounter се използва от около 2 млн. уебмастъри по света. Борсата gate.io също използва този брояч.

Промъкване през задния вход

Вместо да атакуват директно сайта на gate.io, хакерите са се вмъкнали през задния вход – в случая през брояча на сайта.

За да използва StatCounter, уебмастърът трябва да добави в сайта си JavaScript код. Хакерите са успели да компрометират този код и да добавят в него свой собствен.

Когато потребител на gate.io иска да прави трансфери към други биткойн адреси, той отива на страница с адрес: https://www.gate.io/myaccount/withdraw/BTC. Зловреденият код засича, когато това се случи, и се активира.

Работата му е да замени оригиналния биткойн адрес, към който потребителят иска да направи трансакция, с биткойн адрес, който се притежава от хакерите.

Как протича атаката

1.Потребителят зарежда страницата, от която ще прави трансакция;

2. Зловредният код подменя адреса, към който ще се изпраща сумата, с адрес, който се контролира от хакерите. При всяко зареждане на скрипта се зарежда нов биткойн адрес. Така е по-трудно да се проследи общият размер на сумата, източена от портфейлите до момента;

3.Зловредният код проверява каква сума планира да трансферира потребителят. Той може да променя сумата, така че да достигне дневния допустим лимит.

„Не знаем колко биткойни са откраднати по време на тази атака. Но тя показва, че организаторите й са готови да стигнат далеч, за да постигнат целта си. Те първо компрометират платформа за измерване на интернет трафик, за д амогат след това да пробият и борса за криптовалути“, коментират от ESET.

По данни на компанията дневно в geto.io се правят трансакции в биткойн на стойност 1.6 млн. долара

 

Хранилището за Kodi добавки XvMBC е било експлоатирано за кампания копаене на криптовалути, показват резултатите от проучване на компанията за киберсигурност ESET.

Какво е Kodi?

Kodi е плейър за стрийминг на видео, чиято популярност расте, включително и в България.По последни данни от края на 2017 г. то има над 40 млн. активни потребителя, от които 19 млн. са активни всеки месец.

Kodi предоставя на потребителите си платформа за гледане на стрийминг съдържание. Само по себе си, обаче, приложението не позволява гледането на сериали, мачове и др. – за целта потребителите трябва да изтеглят добавки като Bubbles и Gaia, които предоставят съдържанието до устройствата им.

Как работи експлойта

Платформата е използвана за разпространяване на заразени добави за плейъра – Bubbles и Gaia – популярни сред феновете на филми и сериали. Българските потребители не са пострадали в значима степен, но за сметка на това съседна Гърция се нарежда в топ 5 на засегнатите от кампанията страни.

Освен официалното хранилище за добавки към Kodi съществуват и много неофициални такива (така, както освен официалния магазин Google Play съществуват много неофициални хранилища за приложения за Android).

В неофициалните хранилища често могат да се намерят добавки, които предоставят пиратско съдържание – например безплатен достъп до платени телевизионни канали. Подобен е и случаят с XvBMC.

Именно затова холандската асоциация за борба с пиратското съдържание BREIN (Bescherming Rechten Entertainment Industrie Nederland) заведе дело срещу собственика на хранилището и го осъди, принуждавайки го да свали хранилището от интернет.

“Според нашето проучване зловредният код в хранилището XvMBC се е появил най-напред в добавките Bubbles и Gaia – съответно през декември 2017 и януари 2018 г. Оттам той достига до нищо неподозиращите потребители чрез обновяване на добавки или билдове (пакет от много добавки) и се разпространява в екосистемата на Kodi”, посочват от ESET. От компанията допълват, че това е първият пулично известен случай на копач на криптовалути, който се разпространява чрез добавки за Kodi. Той засяга както устройства с Windows, така и такива с Linux.

[box type=“success“ align=“alignleft“ class=““ width=““]

Как да проверите дали устройството ви е засегнато от кампанията

Първоизточниците на кампанията вече са свалени, но това не означава, че сте в безопасност. Възможно е те да са били част от билд, който сте свалили. Копия на самите добавки все още могат да се намерят в интернет според ESET.

Ако използвате Kodi, най-подходящото решение да проверите дали копачът на криптовалути ви е засегнал, е да сканирате устройството си с антивирусен софтуер.

[/box]