Kako izbeći najnoviji maliciozni softver koji napada kripto novčanike?
Kako se razvijaju nove taksonomije i sredstva hakerskih napada?
Kriptovalute su nastale kao odgovor na državni monopol nad novcem i predstavljaju napor ka otvorenom finansijskom tržištu uz obezbeđivanje anonimnosti učesnicima.
Sa jedne strane se učesnicima na kripto tržištu omogućavaju nesmetane transakcije, bez obzira na državne granice, dok sa druge strane neregulisanost kripto tržišta olakšava hakerske napade. Napadi na kripto valute su privlačni jer čak ako se i otkriju počinioci, postavlja se pitanje pravne nadležnosti, što nije definisano.
Hakerski napadi se ne rade "ručno", osim u posebnim slučajevima, već se za napade kreiraju različite skripte bilo da se startuju direktnim komandama ili putem malicioznog softvera. Nedavno su se pojavile dve nove pretnje zlonamernog softvera koje na internetu traže neoprezne investitore kako bi ukrali njihova sredstva.
Nove maliciozne aktivnosti otkrio je anti-malware softver Malwarebytes i reč je o dva nova maliciozna koda. Prvi je ransomware virus nazvan MortalKombat a drugi je GO varijanta Laplas Clipper malvera. Uočene su njihove aktivnosti na kripto tržištu i većina žrtava se nalazi u Sjedinjenim Državama dok je manji procenat žrtava u Velikoj Britaniji, Turskoj kao i na Filipinima.
Na internetu su primećene aktivnosti skeniranja od strana napadača u potrazi za potencijalnim ciljevima sa otvorenim portom Remote Desktop Protocol (RDP) 3389. Radi se o privatnom protokolu koji korisniku obezbeđuje grafički interfejs za povezivanje sa drugim računarom preko mrežne veze.
Istraživanje je pokazalo da kampanja počinje sa phishing e-mail-om čijim se aktiviranjem pokreće višestepeni lanac napada u kojem napadač isporučuje ili malver ili ransomver, a zatim briše dokaze o zlonamernim datotekama, pokrivajući njihove tragove čim se otežava analiza napada.
Elektronska poruka dolazi sa zlonamernom komprimovanom (ZIP) datotekom koja sadrži skriptu za učitavanje Batch fajla koji preuzima drugu zlonamernu ZIP datoteku kada je žrtva otvori. Zlonamerni softver takođe puni žrtvin disk svojim sadržajem otežava njegov rad, što je ili GO varijanta Laplas Clipper malvera ili MortalKombat ransomvera.
Skripta za učitavanje će pokrenuti sam maliciozni kod koji pristupa kripto novčaniku žrtve a zatim će izbrisati preuzete i odbačene maliciozne datoteke da bi očistio tragove infekcije.
Uobičajeni vektor napada za hakere bio je phishing email u kom se lažno predstavljaju CoinPaiments odnosno legitimni globalni prolaz za plaćanje kriptovalutama. Da bi mail poruke izgledale što uverljivije napadači imaju lažnog pošiljaoca „noreply@CoinPayments.net“ dok je naslov poruke „CoinPayments.net Payment Time Out“.
Priložena ZIP datoteka nosi naziv koji podseća na ID transakcije koji je pomenut u telu mail-a, što mami žrtvu da raspakuje zlonamerni prilog kako bi videla sadržaj i na taj način startuje napadački Batch fajl.
Ransomvare i napadi na sajber bezbednost nastavljaju da rastu. Međutim, žrtve sve više nisu spremne da isplate napadačima njihove zahteve, prema nedavnom izveštaju kompanije Chainalysis koja je utvrdila da su prihodi od ransomvare-a za napadače pali za 40 odsto prošle godine.
Pretpostavka je da će hakeri izmeniti taktiku kao i sredstva napada a kako će izgledati budući napadi, saznaćemo u bliskoj budućnosti.
(Telegraf.rs/Goran Kunjadić)