Tatovi bitcoinov zopet na pohodu: lov na prihranke v kriptovalutah se nadaljuje

08.11.2017
Objavil: Thomas Bergant

Raziskovalci družbe Kaspersky Lab so odkrili novo zlonamerno programsko opremo, ki krade kriptovalute iz denarnic uporabnikov tako, da v odložišču naprave zamenja prejemnikov naslov z napadalčevim.

Pri tem kriminalci ciljajo na priljubljene kriptovalute, kot so bitcoin, ethereum, zcash, dash, monero in druge. Največ uspeha so poželi napadi na denarnice za bitcoine; po podatkih družbe Kaspersky Lab so kriminalci skupno zaslužili skoraj 140 tisoč ameriških dolarjev. Poleg tega so strokovnjaki odkrili tudi novega trojanskega konja za rudarjenje kriptovalute monero, nekaj primerkov tega je nepridipravom "na trgu" že na voljo za uporabo.

Z nadaljevanjem priljubljenosti kriptovalut po vsem svetu te postajajo čedalje bolj atraktivna tarča spletnih kriminalcev. Raziskovalci družbe Kaspersky Lab so že zaznali vzpon "rudarjev", ki so prizadeli na tisoče računalnikov in pri tem ustvarili več sto tisoč ameriških dolarjev. Poleg tega so strokovnjaki opazili, da kriminalci začenjajo uporabljati manj napredne tehnike ter za svoje početje porabljajo manj časa in sredstev. Tatovi kriptovalut, ki krepijo svojo prisotnost od leta 2014, tako ogrožajo prihranke uporabnikov v kriptovalutah.

Raziskovalci družbe Kaspersky Lab so odkrili nov trojanski konj CryptoShuffler. Ta spremeni naslove kriptovalutnih denarnic uporabnikov v odložišču okužene naprave (torej v prostoru za kratkotrajno shranjevanje podatkov). Napadi, pri katerih kriminalci zlorabljajo odložišče, so poznani že več let: uporabnike preusmerijo na zlonamerne spletne strani in ogrožajo spletne plačilne sisteme. Vendar pa so primeri napadov, ki vključujejo zamenjavo naslovov prejemnikov kriptovalut, redki.

Pri večini kriptovalut mora uporabnik za prenos kripto kovanca drugemu uporabniku poznati naslov njegove denarnice, ki je sestavljena iz unikatnega večmestnega zaporedja znakov. Trojanec CryptoShuffler pri svojem delovanju izkorišča sistem prav pri obravnavi teh znakov.

Po začetku delovanja trojanski konj CryptoShuffler začne nadzirati odložišče naprave, ki se je uporabniki poslužujejo med izvajanjem plačila. Plačevanje zajema kopiranje naslovov denarnic in njihovo lepljenje v vrstico za "ciljni naslov" v programski opremi, ki je uporabljena za izvedbo transakcije. Trojanec zamenja naslov prejemnikove denarnice s tistim, ki je v lasti ustvarjalca zlonamerne programske opreme. Ko uporabnik prilepi naslov denarnice na ustrezno mesto, ta ni prvotni naslov, na katerega je želel prenesti denar. Posledično žrtev prenese svoj denar neposredno v žep kibernetskih kriminalcev, razen če je pozoren in opazi nenadno zamenjavo prejemnikovega naslova.

Uporabniki po navadi ne opazijo takšne zamenjave naslova, saj so večmestne številke in naslovi denarnic v verigi podatkovnih blokov zelo težko zapomnljivi. Tako je težko opaziti posebnosti v številčnem zaporedju, tudi če je ta tik pred očmi uporabnika.

Zaradi preprostega načina iskanja naslovov dotične denarnice se zamenjava naslova v odložišču zgodi v trenutku. Večina denarnic kriptovalut ima namreč stalno mesto v transakciji in vedno uporablja točno določeno število znakov. Zato lahko vsiljivci z lahkoto ustvarijo standardne kode, s katerimi zamenjajo znake. Po podatkih raziskave CryptoShuffler lahko ogroža različne kriptovalute, med njimi tudi najbolj priljubljene, kot so bitcoin, ethereum, zcash, dash, monero in druge.

Glede na opazovanje raziskovalcev družbe Kaspersky Lab so bili do sedaj kriminalci z uporabo trojanca CryptoShuffler najbolj uspešni pri napadih na denarnice za bitcoine. Uspeli so ukrasti 23 bitcoinov, kar je enakovredno skoraj 140 tisoč ameriškim dolarjem. Ukradeni zneski iz drugih denarnic se gibljejo od nekaj dolarjev do več tisoč ameriških dolarjev.

"Kriptovalute niso več oddaljena tehnologija. Čedalje bolj zaznamujejo naše življenje, njihova uporaba pa se širi med uporabniki po vsem svetu. Postajajo vse bolj dostopni uporabnikom in tudi bolj privlačna tarča za kibernetske kriminalce. V zadnjem času smo opazili naraščanje napadov na različne vrste kriptovalut. Pričakujemo, da se bo ta trend nadaljeval. Uporabniki, ki razmišljajo o investiranju v kriptovalute, morajo zato dobro razmisliti tudi o ustrezni zaščiti," pravi Sergey Yunakovsky, analitik zlonamerne programske opreme pri družbi Kaspersky Lab.

Strokovnjaki so odkrili še enega trojanskega konja, imenovanega DiscordiaMiner, ki ogroža kriptovaluto Monero. Zasnovan je tako, da prenese in zažene datoteke iz oddaljenega strežnika. Raziskava kaže na podobnost v njegovem delovanju s trojanskim konjem NukeBot, ki je bil odkrit v začetku letošnjega leta. Tako kot velja za NukeBot, so se tudi izvorne kode tega novega virusa med hekerji razširjale na nelegalnih forumih.
V družbi Kaspersky Lab uporabnikom priporočajo, da si uporabljajo varnostne rešitve, ki zagotavljajo namensko zaščito finančnih transakcij. Takšno funkcionalnost omogoča tudi opcija Safe Money v varnostnih rešitvah družbe Kaspersky Lab. Za zagotavljanje večje varnosti ta funkcija išče ranljivosti, za katere je znano, da jih izkoriščajo spletni kriminalci. Hkrati nenehno preverja obstoj specializirane zlonamerne programske opreme, s pomočjo napredne tehnologije za zaščito brskalnika 'Protected Browser' ščiti transakcije pred morebitnimi vsiljivci in še posebej varuje odložišče takrat, ko so tam lahko med kopiranjem in lepljenjem shranjeni občutljivi podatki.

Varnostne rešitve družbe Kaspersky Lab so uspešno zaznale in blokirale zlonamerno programsko opremo z naslednjima imenoma:
" Trojan-Banker.Win32.CryptoShuffler.gen
" Trojan.Win32.DiscordiaMiner
Več o novoodkritih rudarjih lahko preberete na spletnem mestu Securelist.com.