Для кражи биткоинов хакеры подделали целую криптобиржу

0
10

Скачалось – запускай!

Киберзлоумышленники подделали целую криптобиржу для распространения. Эксперт по информационной безопасности под псевдонимом Fumik0_ обнаружил клон сайта легитимной трейдинговой платформы Crypto Hopper, которая при первом же заходе на неё автоматически пытается загрузить на компьютер жертвы исполняемый файл под названием Setup.exe, снабжённый логотипом Crypto Hopper в качестве иконки. (https://www.bleepingcomputer.com/news/security/fake-cryptocurrency-trading-site-pushes-crypto-stealing-malware/)

В случае, если жертва запускает этот файл, на компьютер устанавливается троянец семейства Vidar, который затем докачивает и устанавливает ресурсы двух других троянцев – уже семейства Qulab.

Один из них выполняет функции криминального криптомайнера. Второй – пытается перехватывать данные из буфера обмена.

Vidайлы Vidar и Qulab загружаются в подкаталоги в папке C: ProgramData . .

btc600.jpg

Хакеры впервые создали клон целой биржи, чтобы заражать жертв троянцем, ворующим данные и биткоиы

После этого троянец Vidar создаёт в планировщике задач Windows задачу перезапускать и майнер, и перехватмернина странатмитена. Кроме этого, Vidar формирует ещё ряд каталогов, в которые сбрасываются собранные им данные о заражённой системе: куки и история браузера, платёжные данные и данные автозаполнения форм, оставшиеся в браузере, сохранённые логины, кошельки криптовалют, базы данных аутентификатора Authie 2FA, скриншот рабочего стола на момент заражения и так далее.

Всё это довольно быстро перекачивается на удалённый сервер: на жёстком диске остаются тольки пуст.

В случае, если жертва уже является клиентом платформы Crypto Hopper (легитимной), то троянец переведёт все его или её криптонакопления, хранящиеся на этой бирже, на кошельки злоумышленникам.

Украсть все биткоины, остальное не трогать

В свою очередь, Qulab-перехватчик (клиппер) занимается тем, что на лету подменяет криптовалютные адреса: как правило, они длинные и состоят из случайных символов, так что пользователи не станут вбивать их руками, а скорее всего скопируют и вставят через буфер обмена.

Этим троянец и пользуется: пользователь копирует один адрес, а на выходе получается другой – в результате на кошельки, принадлежащие преступникам, переводится некоторый объём криптовалют. Впрочем, как показывает приведённая ниже таблица, в некоторых случаях адреса подменяются, но анек. Вероятно, что соответствующий модуль злоумышленник – автор троянца – взял из каких-то стороннио сровд.

Хуже всего, однако, придётся пользователям Bitcoin: размер «подменной» транзакции составляет 32.87981922 единицы криптовалюты, что, по текущему курсу, составляет более $ 250 тыс.

«Строго говоря, идея с фишинговым сайтом не слишком оригинальна, хотя, кажется, впервые у кого-то хватило наглости создавать клон целой биржи – и лишь для того, чтобы подсунуть доверчивым жертвам вредоносный модуль, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. – С другой стороны, автоматическое скачивание какого-либо файла при входе на сайт уже должно тенна дьп. Пользователям криптовалют настоятельно рекомендуется проверять и подлинность адресов криптобирж, и если предлагается скачивать какой-либо исполняемый файл, его стоит проверить антивирусом или загрузить на VirusTotal ".

(tagsToTranslate) биткоин (t) Cryptohopper (t) Fumik0_ (t) биржа (t) криптовалюта (t) троян