Coin Lab

0 1118 0
Новое ПО для кражи биткойнов

Есть три традиционных способа использования вредоносного ПО для “заработка” биткойнов. Это кража закрытых ключей к биткойн-кошелькам, майнинг биткойнов с помощью ботов-паразитов, ворующих вычислительную мощность, и вымогательство денег за восстановление доступа к зашифрованным файлам.

Компьютерные вирусы для кражи закрытых ключей появились в начале 2011 года и используют кейлоггеры и другие классические способы поиска данных, похожих на закрытые ключи или файлы кошельков. Крупнейшая атака такого рода была проведена с помощью ботнета Pony в 2014 году, который похитил личные сведения миллионов пользователей. Помимо прочего, добычей владельцев ботнета стали 220 тысяч долларов в разных криптовалютах.

Вирусы второго типа также появились в 2011 году. Они используют ресурсы зараженных компьютеров для майнинга биткойнов без ведома пользователя. Например, ботнет ZeroAccess заразил 1,9 миллиона компьютеров. Другая похожая атака, затронувшая более 10 тысяч пользователей телефонов Android, была проведена через магазин Google Play в 2014 году.

“Как только компьютер заражен, вредоносный код незаметно запускает майнинг без разрешения или согласия пользователя”, — Microsoft.

В последнее время набирают популярность атаки более нового, третьего типа. Вместо того чтобы искать закрытые ключи или майнить биткойны, ПО для вымогательства шифрует данные на жестком диске компьютера-жертвы. Один особенно злобный вид такого ПО, Cryptowall, атаковавший в 2014 году компьютеры пользователей из США, требовал за дешифрование файлов от 200 до 10 тысяч долларов. Опасность угрозы даже вынудила ФБР выступить в 2015 году с общественным предупреждением.

Согласно отчету McAfee, в первом квартале 2015 года количество новых видов ПО для вымогательства выросло на 165%, подтвердив прежние опасения компании, которая заявляла, что “авторы ПО для вымогательства продолжат совершенствовать способы распространения, шифрования и поиска жертв”.

“В большинстве случаев ПО для вымогательства попадает на компьютер пользователя при открытии вложения к письму, отправленному злоумышленниками, или при посещении зараженного веб-сайта”, — US Computer Emergency Readiness Team (US-CERT).

Недавно появился четвертый тип вредоносного ПО для кражи биткойнов, которое перехватывает управление буфером обмена на зараженном устройстве Windows и заменяет биткойн-адреса при их копировании. Первым экземпляром такого ПО является троянский конь Trojan.Coinbitclip, обнаруженный компанией Symantec 2 февраля. Он заменяет копируемые биткойн-адреса адресами из своего списка, обходя защиту, реализованную в аппаратных кошельках и кошельках с мультиподписью.

Хотя перехват буфера обмена не является чем-то новым, для замены биткойн-адресов этот прием был использован впервые.

Trojan.Coinbitclip распространяется с большим списком биткойн-адресов и выбирает из него адрес, наиболее похожий на копируемый, из-за чего подмену трудно заметить. В проанализированной выборке фрагментов кода специалисты Symantec обнаружили 10 тысяч биткойн-адресов. На практике это означает, что при копировании и вставке адреса вы можете не заметить небольшое изменение и отправить свои монеты создателю вируса.

Уровень риска, назначенный вирусу, “очень низок”, и удалить его несложно. В Symantec уже создано первое определение этой угрозы, позволяющее регистрировать и удалять Trojan.Coinbitclip. Однако можно с уверенностью сказать, что скоро этот простой вирус будет модифицирован для других операционных систем и способов доставки. В настоящее время он инфицирует ПК с системой Windows 7 или более старыми версиями Windows и доставляется с помощью утилиты для популярной игры Hearthstone.

Hearthstone — это карточная онлайн-игра, разработанная Blizzard Entertainment. Играть в нее можно бесплатно, но игрокам доступна возможность покупки различных предметов. Hearthstone была выпущена в марте 2014 года и на следующий день заняла первое место по количеству загрузок в 32 странах, в том числе в США. К ноябрю 2105 года в игре было зарегистрировано более 40 миллионов игроков. Со временем в сообществе игроков сформировался вторичный рынок программ и файлов. Одна такая программа под названием “Hearthstone hack tool v2.1 -Gold and Dust Generator” широко рекламировалась на форумах Hearthstone как средство, помогающее накапливать богатство, но на самом деле служила для доставки троянского коня на компьютеры пользователей.

McAfee, Symantec, Kaspersky и другие компании, занимающиеся ИТ-безопасностью, предпринимают контрмеры, но на текущий момент надежного решения для защиты от вредоносного ПО, меняющего биткойн-адреса на компьютерах и смартфонах, не существует.

Чтобы в какой-то мере обезопасить себя, можно вместо копирования адресов выбирать их из адресных книг, которые есть в большинстве биткойн-кошельков, но это возможно лишь для небольшой доли транзакций. Кроме того, сервисы наподобие Keybase и Onename могли бы вести базу скомпрометированных адресов. Ну и, конечно, пользователям следует соблюдать общие рекомендации по защите ПК: установить антивирусное ПО от уважаемой компании, использовать брандмауэр для блокирования входящих и исходящих подключений, удалить ненужные службы и никогда не загружать и уже тем более не запускать файлы из ненадежных источников. Специфические советы для пользователей биткойн-кошельков есть на сайте bitcoin.org.

Люк Паркер (Luke Parker)

Источник: bravenewcoin.com

Источник

Теги

Блокчейн глазами IBM: зачем нужен проект HyperLedger и когда мир перейдёт на новую технологию В четверг, 10 ноября, IT-гигант IBM представит своё видение того,…
admin by admin
0 2902 0
Взгляд Microsoft на блокчейн-технологию: от слов к коду Представляем одного из ключевых спикеров Blockchain & Bitcoin Conference Russia…
admin by admin
0 1672 0
Блокчейн в банковской системе: взгляд Сбербанка Сбербанк России – один из лидеров банковского рынка по внедрению…
admin by admin
0 3492 0

Leave a Reply

Войти
Регистрация
Отправить сообщение