Криптовалути

Хранилището за Kodi добавки XvMBC е било експлоатирано за кампания копаене на криптовалути, показват резултатите от проучване на компанията за киберсигурност ESET.

Какво е Kodi?

Kodi е плейър за стрийминг на видео, чиято популярност расте, включително и в България.По последни данни от края на 2017 г. то има над 40 млн. активни потребителя, от които 19 млн. са активни всеки месец.

Kodi предоставя на потребителите си платформа за гледане на стрийминг съдържание. Само по себе си, обаче, приложението не позволява гледането на сериали, мачове и др. – за целта потребителите трябва да изтеглят добавки като Bubbles и Gaia, които предоставят съдържанието до устройствата им.

Как работи експлойта

Платформата е използвана за разпространяване на заразени добави за плейъра – Bubbles и Gaia – популярни сред феновете на филми и сериали. Българските потребители не са пострадали в значима степен, но за сметка на това съседна Гърция се нарежда в топ 5 на засегнатите от кампанията страни.

Освен официалното хранилище за добавки към Kodi съществуват и много неофициални такива (така, както освен официалния магазин Google Play съществуват много неофициални хранилища за приложения за Android).

В неофициалните хранилища често могат да се намерят добавки, които предоставят пиратско съдържание – например безплатен достъп до платени телевизионни канали. Подобен е и случаят с XvBMC.

Именно затова холандската асоциация за борба с пиратското съдържание BREIN (Bescherming Rechten Entertainment Industrie Nederland) заведе дело срещу собственика на хранилището и го осъди, принуждавайки го да свали хранилището от интернет.

“Според нашето проучване зловредният код в хранилището XvMBC се е появил най-напред в добавките Bubbles и Gaia – съответно през декември 2017 и януари 2018 г. Оттам той достига до нищо неподозиращите потребители чрез обновяване на добавки или билдове (пакет от много добавки) и се разпространява в екосистемата на Kodi”, посочват от ESET. От компанията допълват, че това е първият пулично известен случай на копач на криптовалути, който се разпространява чрез добавки за Kodi. Той засяга както устройства с Windows, така и такива с Linux.

Ако последните 2 години бяха белязани от главоломен ръст на криптовируите, то 2018 г. е подвластна на нова тенденция – скритото копаене на криптовалути. Скрито, защото става без ясното знание на засегнатите потребители, чийто компютри – а вече все по-често и мобилни телефони – са използвани за „добив“ на криптовалути.

В числа – статистиката показва, че от началото на годината засечените подобни атаки срещу различни сайтове са се увеличили с 27%, а за мобилни устройства – с 4000%.

Как работят?

Целта на cryptojacking атаките не е да криптират файловете ви или да ви попречат да работите с устройството си, а точно обратното – те разчитат на постоянната работа на телефона или таблета ви. Това се дължи на факта, че тези вируси прикрито „копаят“ криптовалути в полза на атакуващия.

Вижте още: Как вашият сървър (или сайт) прави пари за хакерите

В нормални обстоятелства, добивът на криптовалута се осъществява чрез множество отделни (специализирани) процесори, които комбинират изчислителната си мощ. Cryptojacking операциите наподобяват това като комбинират множество заразени устройства – колкото повече, толкова по-големи приходи. Най-често жертви на такива вируси стават потребителите на Android устройства, тъй като контролът при пазарът за приложения не е толкова строг, колкото при iOS.

Напоследък феноменът се разраства при мобилните устройства с притесняващи темпове. Доказателство за това е скорошното разкритие на ESET, че популярната игра Bug Smasher (около 5 милиона сваляния) е включвала прикрит cryptojacker. Въпреки че не са толкова мощни, мобилните устройства са атрактивна цел по няколко очевидни причини. Замислете се, като начало: колко приложения, които не използвате стоят на телефона ви?

Как да открием, че сме заразени

При прекомерно агресивно присъствие на cryptojacker-и, телефонът ви може да не само да се нагрява и бави ненужно, но и батерията ви може да бъде повредена заради постоянното и прекалено бързо разреждане.

Опитите за кражба на криптовалути стават все повече и все по-чести. Последният по-сериозен пример до момента е атака от началото на юли месец, в която са били спрени над 2.3 млн. опита за подмяна на информация за притежатели на криптовалути през един от сайтовете посредници.

Защо? Защото само за година Bitcoin е увеличил стойността си повече от 3 пъти и към 31 юли се продава срещу 8,155.24 USD. Как всъщност се крадат криптовалути и как да предпазите своя портфейл?

В долните редове може да се запознаете с 6-те най-използваните метода.

 1. Приложения от Google Play и Apple App Store

Особено характерно за потребителите на смартфони, които не се защитават адекватно, е да станат жертви на измамни приложения. Те изглеждат сякаш идват от определени крипто организации – Coin Miner, Eth Miner и др. При стартирането на приложението от потребителят се изисква да въведе чувствителните си данни, за да получи достъп до своите профили и по този начин дава достъп на хакерите до профила си.

2. Ботовете в Slack

Slack ботове, които се използват за кражба на криптовалута, се превърнаха в най-бързо развиващата се и използвана система от измамниците. Тази атака се осъществява посредством бот, който изпраща уведомление към потребителите за даден проблем с техния криптопортфейл.
Когато потребителят последва линка, той трябва да въведе частния си ключ за достъп до криптопортфейла – и го отваря за кражба.

Прочетете повече от какво и как да защитите Android устройството си.

3. Add-ons и Pop-ups за криптотърговия

Повечето браузъри днес предлагат персонализиране на потребителския интерфейс за по-удобна работа с криптопортфейли и обмен на валути. Проблемът е, че някои тези добавки са силно уязвими към хакерски атаки. Голяма част от тези разширения могат да се използват и за скрито копаене на валути, което използва ресурсите на компютъра ви и често остава незабележимо.

4. Автентикация чрез SMS 

По-голяма част от потребителите избират да използват мобилна автентикация, тъй като смартфонът е винаги в джоба им. SMS съобщенията се изпращат навсякъде по света чрез протокола Signaling System 7 (SS7). Специалисти демонстрираха прихващането на текстови съобщения, използвайки свой собствен изследователски инструмент, който използва слабостите за прихващане на този тип трафик . Демонстрацията беше направена, използвайки сметки на Coinbase, шокирайки потребители на борсата. Това доказва, че дори и 2FA чрез SMS не ви дава пълна безопасност.

5. Публични Wi-Fi мрежи

Никога не правете важни транзакции през публична мрежа, дори и да използвате най-сигурния VPN. Кракването на WiFi защита е особено наболяла тема, тъй като до голяма степен, все още се използват остарели защитни стандарти. В новите пък, биват открити уязвимости, като добър приер за това е Krack атаката, която позволява на външен потребител да шпионира трафика на мрежата, без да е в нея.

6. Клониране на сайт

Въпреки че, част от описаните до момента методи са до някаква степен базирани на този, добрия стар чист фишинг продължава да е главозамайващо ефективен. При този тип атака се клонира или изработва страница, която изисква въвеждането на лични данни. В последствие, потребителите биват привлечени към нея по един или друг начин, а всеки, който въведе данните си може да се сбогува с каквато и наличност да има в криптопортфейла си.

Добрата новина е, че намирането на пробойни в потребителската защита става все по-трудно, тъй като не само услугите се усъвършенстват, но и самите потребители. Все повече хора използват многослойна автентикация и антивирусен софтуер, който предпазва от конвенционални атаки. Фокусът на хакерите вече се измества към създаването и разпространението на код, който копае валути в тяхна полза чрез чужди машини.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Най-голямата корейска платформа за търговия с криптовалути Bithumb е бил хакнат за трети път. Прочетете повече »

Последен ъпдейт на 28 юни 2018 в 01:12 ч.

Няма спор, че 2017 г. беше годината на криптовирусите (или ransomware). Няма спор, и че от началото на 2018 г. те някак изчезнаха от заглавията на медиите – след гръмкото отразяване на имена като WannaCry, NotPetya и Bad Rabbit.

От началото на годината обаче са засечени с 35% по-малко опити за зараза при крайните потребители и 28% ръст при бизнес потребителите. Да, това е знак, че интересът към този тип зловредни атаки не е намалял – дори обратното. GandCrab, Scarabey и Hermes са сред новите имена на пазара, които засенчиха предишните величия като Locky и Cerber.

От началото на годината няма и твърдо много шум или разкрити гигантски пробиви, огромни масиви източени данни или разкрити атаки – но кибер-престъпността е далеч от изчезнала.

Пример за това твърдение е появата на изцяло нов тип атаки – coinminer. Тези атаки не насочени срещу потребителите – поне не директно. На практика, те експлоатират легална функция на CoinHive, която позволява „копаeнето“ за криптовалутата Monero директно през браузъра на потребителя. Как? Като кодове, изпълняващи тази функция, се инжектират в множество сайтове (обикновено) без знанието на собствениците на самите сайтове.

Така, всеки посетител на даден сайт започва да „копае“ Monero докато е на сайта. Което е довело до 27% на тези атаки за първото тримесечие на годината при десктопи и лаптопи – и им отрежда второ място сред най-разпространените сред бизнес потребителите.  При мобилните атаки ръстът е 40 пъти – или 4000% само за година.

Разбира се, твърде рано е да се каже дали това е „новата тенденция“ в областта на кибер-сигурността, но е хубаво да проверявате редовно сайтовете и уеб приложенията, с които работи бизнеса ви за наличието на подобни снипети код. Спомнете си само каква беше реакцията на хората като разбраха, че сайт като The Pirate Bay планира да замени рекламата с coinminer-и. А сега си представете, че разберат, че сайтът на организацията ви има подобен код и 1) експлоатирате системните ресурси на потребителите си без знанието им и 2) всъщност – какви може да са щетите по репутацията ви, ако се разбере, че на сайта ви могат да бъдат добавяни кодове „просто така“?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:28 ч.

През последните години ставаме свидетели на невиждан до момента бум на криптовалутите. След като най-силно установената от тях – Bitcoin – увеличи стойността си с около двадесет пъти в рамките на годината (стигайки до почти $20 000), светът заключи, че е време да обърне внимание на „виртуалните пари“. Видяхме залеза на различни криптовалути, разделянето им на различни разновидности, купища измами и дори едно отвличане. Това показва, че е време да се замислим как общественото внимание ще се отрази на кибер-сигурността.

Двете страни на монетата

Без съмнение, новото поколение валути имат огромно положително въздействие. Създаването им и търговията с тях позволява на различни инициативи да се развиват и помага на хора без достъп до дадени пазари. Дотолкова, че през април, 2017 г., Bitcoin беше приет като законно платежно средство в Япония. От друга страна, редица правителства работят по строгата регулация или абсолютната забрана на тази и други криптовалути. Можете ли да се досетите защо?

Факт е, че основните предимства на този тип разплащателни средства (анонимност, децентрализация, липса на регулация и моментални трансфери) могат да се използват и със злонамерени цели. Според IOCTA (Internet Organized Crime Threat Assessment) на Европол, това ги прави основното разплащателно средство при организацията на кибер престъпления. Но когато говорим за сигурност можете да се досетите, че всичко опира до една крайна точка – потребителя.

Криптовалутите може да не са по-сигурна алтернатива

Услугите за търгуване с виртуални валути и заменянето им за „аналогови“ са достъпни за всички. Това позволява на хора с не толкова добри познания за добрите практики в сигурността да търгуват неограничено. Огромната възможност за монетизация е изключително атрактивна за всеки с някакви познания за това как да пробие потребителската защита и намерението да ги използва. По данни на Ройтерс, над милион биткойна са били откраднати от 2011-та насам. Миналата година не беше лишена от инциденти, някои от които приеха притеснителни мащаби:

• Още в началото на годината, хакери проникнаха в личния компютър на работник от една от големите южнокорейски борси. Личните данни на над 30 000 клиенти бяха откраднати и използвани за измами, чиито щети се изчисляват на 1 млн. USD.
• Компанията зад валутата Tether докладва за кражби на стойност над 31 млн. USD от личните си залежи.
• Дори и без престъпни намерения, обикновен потребител успя да „замрази перманентно“ ether на стойност 280 млн. USD след като некачествен код му позволява да изтрие една от библиотеките, осигуряваща достъп на потребителите.
• Словенската борса NiceHash докладва за „професионална атака“ от опитни престъпници, които са използвали социално инженерство, за да добият данните за достъп на служител. Борсата е пострадала с биткойни на стойност 64 млн. USD.

Какво ни казват тези данни?

Както всяка „дигитална революция“, тази също напредва прекалено бързо, за да може сигурността да я настигне. След като повече и повече хора стават част от кипящите пазари за криптовалути, опасностите, които ги дебнат се увеличават с притеснителни темпове. Липсата на регулация от външни организации също има своите рискове, заради които различни правителства (като това на Еквадор) планират да създадат собствени валути, забранявайки всички останали. Междувременно, освен ако изобилието от слаби точки в сигурността не бъде адресирано, то инцидентите от миналата година са само началото.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:30 ч.

Биткойните чупят всякакви рекорди – след като поскъпнаха с над 20% само в рамките на миналата седмица, цената им премина границата от 14,800 долара само за 24 часа. Какво означава това? Причина за хакерите да проявят интерес към валутата, разбира се.

Резултатът не закъсня – NiceHash, най-голямата платформа за копаене на криптовалутата, бе хакната, което според различни източници е довело до кражбата на над 4,700 биткойна (около 57 млн. USD по време на разкриването на пробива – и около 70 млн. USD само 24 часа по-късно).

NiceHash е създадена през 2014 г. и позволява на потребители, които имат свободна изчислителна мощ на компютрите, да я използват за създаване на нови биткойни. На 6 декември от няколко потребителя на платформата съобщиха, че портфейлите им с биткойни са били опразнени, а в последствие и от NiceHash потвърдиха новината след кратко спиране на платформата под претекст, че се осъществява техническа поддръжка.

Към момента сайтът все още е офлайн, а в официалното съобщение се признава за осъществения пробив, както и, че хакерите са откраднали целия портфейл с биткойни на компанията.

След разкриването на инцидента от NiceHash препоръчват на потребителите си да сменят паролите си – както за тяхната, така и за други услуги, ако използват идентични данни за логин.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:34 ч.

Докато целият свят очаква с нетърпение какви нови висоти ще покори обменният курс на криптовалутата биткойн (bitcoin) и какви ще бъдат наследниците на вируси като WannaCryptor или Petya, идват нови и много по-потайни методи за генериране на приходи за кибер-престъпността.

Една подобна дейност се случва поне от май 2017 г. – оттогава насам хакери атакуват Windows сървъри, чийто ъпдейти не са инсталирани навреме (или иначе казано – не са патчнати) и инсталират т.нар. криптомайнъри. Това са кодове, които използват изчислителната мощ на компютрите на посетителите на уебсайтове, без те да подозират за това. А тази мощност се използва за „копаене“ на криптовалутата Monero (XMR), алтернатива на Биткойн.

За да постигнат този ефект, атакуващите са модифицирали open source софтуер за майнване на Monero и използват добре позната уязвимост на Microsoft IIS 6.0, за да инсталират кодовете си на непатчнати сървъри. В рамките на последните 3 месеца създателите на софтуера са заразили стотици уебсайтове, част от които и български, и са генерирали за себе си над 63,000 от криптовалутата Monero.

Клиентите на ESET са защитени от опити за експлоатиране на уязвимостта CVE-2017-7269, дори и, ако сървърите им не са патчнати.

Защо Monero, а не Bitcoin?

Макар и с доста по-ниска пазарна стойност от Bitcoin, Monero има няколко допълнителни функционалности, които го превръщат в много привлекателна криптовалута, обвързана със зловредни кодове. Например, алгоритъм за доказване на ефективност CryptoNight, който предпочита компютърни или сървърни процесори (CPU) и видео карти (GPU), за разлика от специализирания хардуер, необходим за работа с биткойни.

Не, че стойността на Monero не расте – само за последния месец тя е скочила от 40 USD/XMR до 150 USD/XMR – след което е загубила част от позициите си до около 100 USD/XMR към момента.

Криптомайнърът

Засечен за първи път на 26 май 2017 г., кодът, използван от хакерите, е модифицирана версия на иначе легитимния софтуер за майнване на Monero xmrig, версия 0.8.2 (публикувана на същия ден – 26 май 2017 г.).

При създаването на зловредния си код, кибер-престъпниците не са промени структурата на оригиналната база данни – ако изключим факта, че са хардкоднали адреса на портфейла си и URL на майнинг пула, както и няколко допълнителни аргумента, за да спрат всички възможни паралелно работещи инсталации на софтуера. По този начин те си гарантират, че на заразения компютър ще работи само и единствено най-новата инсталация на майнъра – тази, създадена от хакерите. Иначе казано – модификациите надали са отнели повече от няколко минути, което обяснява как зловредният код се появява буквално в същия ден с публикуването на легитимната версия на xmrig.

Разпространение

Разпространението на майнъра към компютрите на жертвите е най-трудната част от операцията. Дори и за нея, създателите са прибегнали до най-лесния подход. Засечени са 2 IP адреса, през които се осъществяват brute-force атаки срещу уязвимостта CVE-2017-7269.

Тя е открита през март 2017 г. и позволява на атакуващите да инжектират кода, с който да инициират експлоатирането на компютрите на посетителите незасегнати сайтове.

Решенията на ESET засичат майнъра с името Win32/CoinMiner.AMW trojan, а опитите за проникване в сървър като webDAV/ExplodingCan.

Малко статистика

Благодарение на факта, че статистиката за дейността на майнърите на Monero е публично достъпна, ESET успяват да засекат и комбинират всички хашове на жертвите, което представлява общата изчислителна мощ, използвана за „копаене“ към съответния акаунт. Стойностите се движат около 100 килохаша на секунда (kH/s), с пикове от 160 kH/s в края на август.

Като цяло, сборът от всички заразени машини е XMR5.5 на ден до края на август и над XMR420 от старта на атаката. При обменен курс от 150 USD/XMR, това означава 825 долара на ден или над 63,000 долара общ приход за създателите на зловредния код.

Атакуващите са били много активни в края на август, но от началото на октомври не са засечени масови атаки – въпреки че вирусът се появи в България именно през октомври –засякохме няколко сайта, които бяха заразени с кода – но той е отстранен от тях своевременно.

Освен това, тъй като майнърът няма механизъм за саморазпространение, хакерите непрекъснато губят вече компрометирани машини и скоростта на генериране е спаднала на 60 kH/s към момента на писането на този текст.

Това, обаче, не е първата “почивка“ на авторите на кода – и не е изключено да станем свидетели на нова подобна кампания в бъдеще. Поддържайте сървърите си винаги във форма – ъпдейтвате операционните им системи и ги защитавайте с лицензиран антивирусен софтуер като първо ниво на защитата си. Или се възползвайте от услугите на SOC (Security Operation Center), който да следи дейността им постоянно.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.