Исследователи из ZeroFox предупреждают о новой угрозе

Исследователи из ZeroFox предупреждают о новой угрозе — растущем Windows-ботнете Kraken, который используется пока для кражи информации, в том числе из криптокошельков. Взятый за основу вредонос с функциями бэкдора написан на Go; его код активно совершенствуется. Эксперты обнаружили Kraken (не путать с одноименным крупным ботнетом, наводнявшим спамом почтовые ящики в 2008-2009 годах!) минувшей осенью. Анализ образцов зловреда показал, что он создан на основе исходников, выложенных на GitHub 10 октября — ботоводами или сторонним разработчиком, установить не удалось.

Распространяется новичок с помощью загрузчика SmokeLoader, притом довольно быстро. Каждый перенос командного сервера (IP-адреса меняются часто из-за постоянных доработок кода Kraken) влечет появление сотен новых ботов. В ходе установки вредонос пытается прописаться в папке %AppData%\ — если повезет, в виде скрытого файла с безобидным именем taskhost.exe, Registry.exe или Windows Defender GEO.exe. Он также добавляет себя в список исключений Microsoft Defender, регистрируется в системе как некая сетевая служба и прописывается в реестре на автозапуск. Функциональность новобранца вполне стандартна, но за время наблюдений много раз подвергалась корректировке; вирусописатели то вносили изменения в существующие компоненты, то опробовали новые.

Последние варианты Kraken обладают следующими возможностями: сбор информации о зараженной системе; обеспечение постоянного присутствия; выполнение шелл-команд; скриншоты; кража данных из программ-криптокошельков (Armory, Atomic Wallet, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Jaxx Liberty, Zcash); загрузка и запуск исполняемых файлов.

В некоторых сборках также был реализован брутфорс SSH, но эту функцию не использовали и быстро удалили. Панель управления Kraken тоже постоянно дорабатывается. Текущая версия (Anubis Panel) позволяет оператору вести статистику по ботам, отдавать команды точечно или в группах, менять полезную нагрузку, просматривать историю задач и информацию о жертвах. Из дополнительных зловредов Kraken явно отдает предпочтение RedLine Stealer. Иногда на ботнет загружаются другие инфостилеры или майнер криптовалюты; такие услуги обеспечивают ботоводам стабильный доход — по оценкам ZeroFox, порядка $3000 в месяц. Зачем им нужен сбор краденых данных, пока непонятно.

Источник: Windows-машины атакует Kraken — новый Golang-бот в стадии разработки

 

[Candellmans]

Microsoft предупредила о ледяном фишинге в блокчейне и смарт-контрактах​

Фишинг уже «проложил путь» в блокчейн, кастодиальные кошельки и смарт-контракты.



Компания Microsoft предупредила о новых угрозах безопасности блокчейна и Web3, в том числе о так называемом «ледяном фишинге» (ice phishing).
Как сообщили специалисты Microsoft 365 Defender Research Team, фишинг уже «проложил путь» в блокчейн, кастодиальные кошельки и смарт-контракты. По их словам, фишинговые атаки на Web3 и блокчейн может принимать различные формы. К примеру, с его помощью злоумышленники могут попытаться получить закрытые ключи шифрования к кошелькам с цифровыми активами.

Хотя фишинг с использованием электронных писем имеет место, техника чрезвычайно распространена в соцсетях. Так, мошенники могут отправлять пользователям личные сообщения якобы от криптовалютного сервиса с просьбой о помощи. Под видом команды поддержки они выманивают у жертв их ключи.
Еще один способ – объявить в соцсетях о бесплатной раздаче (airdrop) токенов, и, когда пользователи попытаются получить доступ к своим новым активам, перенаправить их на вредоносные домены, которые либо пытаются похитить учетные данные, либо выполнить на системе жертвы вредоносное ПО для криптоджекинга.
И напоследок, мошенники могут использовать тайпсквоттинг – зарегистрировать домены, похожие по написанию на легитимные криптовалютные сервисы, но отличающиеся на один-два символа (например, cryptocurency.com вместо cryptocurrency.com) и похищающие ключи от кошельков.
«Ледяной фишинг» отличается тем, что полностью игнорирует закрытые ключи шифрования. Этот метод заключается в том, чтобы заставить жертву подписать транзакцию, одобряющую передачу ее токенов преступникам.

Такие транзакции могут использоваться в средах DeFi и смарт-контрактов, например, для разрешения свопа токенов (процесса, в ходе которого одна криптовалюта обменивается на другую по заранее определенной ставке).

«После того, как транзакция одобрения была подписана, внесена и отчеканена, злоумышленник может получить доступ к средствам. В случае с 'ледяным фишингом' атакующий может насобирать одобрения, после чего быстро и начисто опустошить кошелек жертвы», - сообщили специалисты Microsoft.
Одним из ярких примеров «ледяного фишинга» является прошлогодний взлом DeFi-платформы Badger. Злоумышленникам удалось скомпрометировать фронтенд и получить доступ к ключу Cloudflare API. Затем они внедрили (и удалили) вредоносный скрипт из смарт-контракта Badger.
Мошенники отобрали пользователей с большими суммами на счетах и попросили у них подписать мошеннические транзакции одобрения. Вредоносный скрипт перехватывал транзакции Web3 и предлагал пользователям разрешить использование внешнего адреса для работы с токенами ERC-20 в их кошельках.

После одобрения со счета поступления денег на счет злоумышленников было переведено 8 эфиров для запуска серии вызовов transferFrom одобренных токенов пользователя. Таким образом мошенникам удалось перевести $121 млн от лица жертв на собственные счета.
Web3 – концепция новой итерации интернета на основе блокчейна, которая включает в себя идеи децентрализации и экономики на основе токенов. Некоторые противопоставляют ее Web 2.0, где, по их мнению, данные и контент централизованы в небольшой группе компаний. Термин был придуман в 2014 году соучредителем Ethereum Гэвином Вудом, а в 2021 году идеей заинтересовались криптовалютные энтузиасты, крупные технологические компании и венчурные фирмы.

Кастодиальные кошельки - аналоги банковских инструментов. Их отличительное свойство заключается в отсутствии у пользователя полного контроля над своими средствами, поскольку у оператора (кастодиана) есть доступ к приватному ключу.

Источник: