Спецпроекты

Безопасность Пользователю Стратегия безопасности Интернет Веб-сервисы Маркет

Для кражи биткоинов хакеры подделали целую криптобиржу

С сайта - клона криптоплатформы Cryptohopper потенциальной жертве загружается исполняемый файл, оказывающийся троянцем, который затем скачивает в систему ещё две вредоносные программы.

Скачалось - запускай!

Киберзлоумышленники подделали целую криптобиржу для распространения вредоносных программ, крадущих криптовалюту и конфиденциальные данные. Эксперт по информационной безопасности под псевдонимом Fumik0_ обнаружил клон сайта легитимной трейдинговой платформы Cryptohopper, которая при первом же заходе на неё автоматически пытается загрузить на компьютер жертвы исполняемый файл под названием Setup.exe, снабжённый логотипом Cryptohopper в качестве иконки. (https://www.bleepingcomputer.com/news/security/fake-cryptocurrency-trading-site-pushes-crypto-stealing-malware/)

В случае, если жертва запускает этот файл, на компьютер устанавливается троянец семейства Vidar, который затем докачивает и устанавливает ресурсы двух других троянцев - уже семейства Qulab.

Один из них выполняет функции криминального криптомайнера. Второй - пытается перехватывать данные из буфера обмена.

Файлы Vidar и Qulab загружаются в подкаталоги в папке C:\ProgramData\. Судя по нижеприведённому скриншоту, как минимум часть из них скачиваются из ресурсов, располагающихся в Рунете.

btc600.jpg
Хакеры впервые создали клон целой биржи, чтобы заражать жертв троянцем, ворующим данные и биткоины

После этого троянец Vidar создаёт в планировщике задач Windows задачу перезапускать и майнер, и перехватчик буфера обмена раз в минуту. Кроме этого, Vidar формирует ещё ряд каталогов, в которые сбрасываются собранные им данные о заражённой системе: куки и история браузера, платёжные данные и данные автозаполнения форм, оставшиеся в браузере, сохранённые логины, кошельки криптовалют, базы данных аутентификатора Authy 2FA, скриншот рабочего стола на момент заражения и так далее.

Всё это довольно быстро перекачивается на удалённый сервер: на жёстком диске остаются только пустые папки.

В случае, если жертва уже является клиентом платформы Cryptohopper (легитимной), то троянец переведёт все его или её криптонакопления, хранящиеся на этой бирже, на кошельки злоумышленникам.

Украсть все биткоины, остальное не трогать

В свою очередь, Qulab-перехватчик (клиппер) занимается тем, что на лету подменяет криптовалютные адреса: как правило, они длинные и состоят из случайных символов, так что пользователи не станут вбивать их руками, а скорее всего скопируют и вставят через буфер обмена.

Этим троянец и пользуется: пользователь копирует один адрес, а на выходе получается другой, - в результате на кошельки, принадлежащие преступникам, переводится некоторый объём криптовалют. Впрочем, как показывает приведённая ниже таблица, в некоторых случаях адреса подменяются, но без транзакции. Вероятно, что соответствующий модуль злоумышленник - автор троянца - взял из каких-то сторонних вредоносов.

Хуже всего, однако, придётся пользователям Bitcoin: размер «подменной» транзакции составляет 32,87981922 единицы криптовалюты, что, по текущему курсу, составляет более $250 тыс.

«Строго говоря, идея с фишинговым сайтом не слишком оригинальна, хотя, кажется, впервые у кого-то хватило наглости создавать клон целой биржи - и лишь для того, чтобы подсунуть доверчивым жертвам вредоносный модуль, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - С другой стороны, автоматическое скачивание какого-либо файла при входе на сайт уже должно вызывать подозрения. Пользователям криптовалют настоятельно рекомендуется проверять и подлинность адресов криптобирж, и если предлагается скачивать какой-либо исполняемый файл, его стоит проверить антивирусом или загрузить на VirusTotal».

Роман Георгиев

Короткая ссылка