Trojanci koji kradu kriptovalute
Stručnjaci iz kompanije Kaspersky Lab otkrili su novi malver koji krade kriptovalute korisnika tako što na klipbordu uređaja (deo memorije u koji se privremeno smešta kopirani objekat) njihovu adresu menja sopstvenom. Kriminalci targetiraju popularne kriptovalute kao što su Bitcoin, Ethereum, Zcash, Dash, Monero i druge. Zapravo, sajber kriminalci su već ostvarili značajan uspeh u ovim operacijama, budući da su do sada ukrali skoro 100 hiljada dolara u kriptovalutama, prema podacima do kojih je došla kompanija. Pored toga, istraživači su pronašli i novi trojan virus, koji je kreiran sa ciljem da krade Monero kriptovalutu.
Budući da kriptovalute postaju sve popularnije širom sveta, one automatski postaju veoma primamljiva meta za sajber kriminalce. Istraživači iz kompanije Kaspersky Lab već su uočili porast broja “rudarskih“ programa koji generišu kriptovalute, a koji su zarazili hiljade računara i napravili više hiljada dolara. Pored toga, stručnjaci su uočili da sajber kriminalci počinju da koriste manje napredne tehnike, kao i da troše manje resursa i vremena na ove aktivnosti. Prema rezultatima istraživanja, kradljivci kriptovaluta, koji su pojačali svoju aktivnost od 2014. godine, ponovo predstavljaju ozbiljnu opasnost za korisnike koji koriste kriptovalute.
Istraživači iz kompanije Kaspersky Lab otkrili su novi CryptoShuffler trojan virus, koji je kreiran tako da menja adrese novčanika korisnika na klipbordu inficiranog uređaja. Ovakva vrsta napada je već poznata, pri čemu se tokom procesa sprovođenja napada korisnici preusmeravaju na maliciozne web stranice i targetiraju se sistemi za onlajn plaćanje. Kod većine kriptovaluta, ako korisnik želi da prebaci određen iznos drugom korisniku, on mora da zna identifikacioni broj njegovog novčanika, jedinstveni broj koji se sastoji od više cifara. CryptoShuffler trojan koristi činjenicu da sistem mora da radi sa ovim brojevima i ciframa, i manipuliše ovim procesom.
Nakon pokretanja, CryptoShuffler trojan počinje da nadgleda klipbord uređaja, koji korisnici koriste prilikom plaćanja. To podrazumeva kopiranje brojeva virtuelnih novčanika i njihovo prebacivanje u polje za unos krajnje adrese, u okviru softvera koji se koristi za sprovođenje transakcije. Trojan virus menja virtuelni novčanik korisnika onim koji je u vlasništvu kreatora malvera, što znači da korisnik zapravo neće uneti adresu koju je želeo u predviđeno polje. Kao posledica toga, žrtva će svoj novac prebaciti direktno kriminalcima, osim ako je veoma pažljiva i na vreme uoči zamenu adrese. Slučaj kada korisnik primeti zamenu adrese je veoma redak, budući da je veoma teško zapamtiti toliki broj cifara koje čine adresu virtuelnog novčanika. Zbog toga je veoma teško uočiti ovakve maliciozne pokušaje tokom sprovođenja transakcije, čak i ako se odvijaju ispred korisnikovih očiju.
Zamena adrese na klipbordu se događa u istom trenutku, zahvaljujući jednostavnom pretraživanju adresa virtuelnih novčanika: većina virtuelnih novčanika ima konstatan položaj na transakcijskoj liniji i uvek koristi određeni broj karaktera. Usled toga, kriminalci mogu jednostavno da naprave regularne kodove koji će ih zameniti. Na osnovu rezultata istraživanja, ustanovljeno je da CryptoShuffler radi sa velikim brojem najpopularnijih kriptovaluta kao što su Bitcoin, Ethereum, Zcash, Dash, Monero i druge.
Za sada, kriminalci koji koriste CryptoShuffler trojan virus su uglavnom bili uspešni u napadima na Bitcoin novčanike, pri čemu su uspeli da ukradu 23 BTC, što je ekvivalent skoro 100 hiljada dolara. Ukupni iznos koji su kriminalci uspeli da ukradu iz drugih virtuelnih novčanika varira od nekoliko dolara do nekoliko hiljada dolara.
„Kriptovalute više ne predstavljaju tehnologiju budućnosti. One predstavljaju sastavni deo naših svakodnevnih života i postaju sve popularnije širom sveta, samim tim i atraktivnije mete za sajber kriminalce. U poslednje vreme smo uočili značajan porast broja malvera koji napadaju različite vrste kriptovaluta, i očekujemo da će se ovaj trend nastaviti. Zbog toga bi korisnici koji razmišljaju o investiciji u kriptovalute trebalo pre svega da razmisle da li su adekvatno zaštićeni”, izjavio je Sergej Junakovski (Sergey Yunakovsky), malver analitičar u kompaniji Kaspersky Lab.
Stručnjaci su otkrili još jedan trojan virus koji targetira Monero kriptovalutu – DiscordiaMiner, koji je kreiran tako da postavlja i pokreće fajlove sa udaljenog servera. Prema rezultatima istraživanja, postoje određene sličnosti sa NukeBot trojan virusom, koji je otkriven ranije tokom ove godine. Kao što je to slučaj i sa NukeBot virusom, izvorni kod trojanca je podeljen na „podzemnom“ forumu gde se okupljaju hakeri.
Korisnicima se preporučuje da instaliraju pouzdano bezbednosno rešenje, koje je u stanju da obezbedi finansijske transakcije, kao što je Safe Money tehnologija u okviru Kaspersky Lab bezbednosnih rešenja. Radi adekvatnije bezbednosti, ova tehnologija skenira ranjivosti koje su u prošlosti iskorišćavali sajber kriminalci, konstantno proverava prisustvo specijalnih malvera, nadgleda transakcije i proverava da li ima neovlašćenih upada pomoću Protected Browser tehnologije, i štiti klipbord gde se nalaze osetljive informacije tokom procesa kopiranja.
Proizvodi kompanije Kaspersky Lab uspešno detektuju i blokiraju malver sa sledećim imenima:
Trojan-Banker.Win32.CryptoShuffler.gen
Trojan.Win32.DiscordiaMiner