Спецпроекты

Для кражи биткоинов хакеры подделали целую криптобиржу

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы
С сайта - клона криптоплатформы Cryptohopper потенциальной жертве загружается исполняемый файл, оказывающийся троянцем, который затем скачивает в систему ещё две вредоносные программы.

Скачалось - запускай!

Киберзлоумышленники подделали целую криптобиржу для распространения вредоносных программ, крадущих криптовалюту и конфиденциальные данные. Эксперт по информационной безопасности под псевдонимом Fumik0_ обнаружил клон сайта легитимной трейдинговой платформы Cryptohopper, которая при первом же заходе на неё автоматически пытается загрузить на компьютер жертвы исполняемый файл под названием Setup.exe, снабжённый логотипом Cryptohopper в качестве иконки. (https://www.bleepingcomputer.com/news/security/fake-cryptocurrency-trading-site-pushes-crypto-stealing-malware/)

В случае, если жертва запускает этот файл, на компьютер устанавливается троянец семейства Vidar, который затем докачивает и устанавливает ресурсы двух других троянцев - уже семейства Qulab.

Один из них выполняет функции криминального криптомайнера. Второй - пытается перехватывать данные из буфера обмена.

Файлы Vidar и Qulab загружаются в подкаталоги в папке C:\ProgramData\. Судя по нижеприведённому скриншоту, как минимум часть из них скачиваются из ресурсов, располагающихся в Рунете.

btc600.jpg
Хакеры впервые создали клон целой биржи, чтобы заражать жертв троянцем, ворующим данные и биткоины

После этого троянец Vidar создаёт в планировщике задач Windows задачу перезапускать и майнер, и перехватчик буфера обмена раз в минуту. Кроме этого, Vidar формирует ещё ряд каталогов, в которые сбрасываются собранные им данные о заражённой системе: куки и история браузера, платёжные данные и данные автозаполнения форм, оставшиеся в браузере, сохранённые логины, кошельки криптовалют, базы данных аутентификатора Authy 2FA, скриншот рабочего стола на момент заражения и так далее.

Всё это довольно быстро перекачивается на удалённый сервер: на жёстком диске остаются только пустые папки.

В случае, если жертва уже является клиентом платформы Cryptohopper (легитимной), то троянец переведёт все его или её криптонакопления, хранящиеся на этой бирже, на кошельки злоумышленникам.

Украсть все биткоины, остальное не трогать

В свою очередь, Qulab-перехватчик (клиппер) занимается тем, что на лету подменяет криптовалютные адреса: как правило, они длинные и состоят из случайных символов, так что пользователи не станут вбивать их руками, а скорее всего скопируют и вставят через буфер обмена.

Этим троянец и пользуется: пользователь копирует один адрес, а на выходе получается другой, - в результате на кошельки, принадлежащие преступникам, переводится некоторый объём криптовалют. Впрочем, как показывает приведённая ниже таблица, в некоторых случаях адреса подменяются, но без транзакции. Вероятно, что соответствующий модуль злоумышленник - автор троянца - взял из каких-то сторонних вредоносов.

Хуже всего, однако, придётся пользователям Bitcoin: размер «подменной» транзакции составляет 32,87981922 единицы криптовалюты, что, по текущему курсу, составляет более $250 тыс.

«Строго говоря, идея с фишинговым сайтом не слишком оригинальна, хотя, кажется, впервые у кого-то хватило наглости создавать клон целой биржи - и лишь для того, чтобы подсунуть доверчивым жертвам вредоносный модуль, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - С другой стороны, автоматическое скачивание какого-либо файла при входе на сайт уже должно вызывать подозрения. Пользователям криптовалют настоятельно рекомендуется проверять и подлинность адресов криптобирж, и если предлагается скачивать какой-либо исполняемый файл, его стоит проверить антивирусом или загрузить на VirusTotal».



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Стратегия месяца

Мы отказываемся от лоскутной автоматизации

Валерий Дьяченко

ИТ-директор «Мечела»