У дикій природі помічено нове шкідливе програмне забезпечення, яке ставить під загрозу гаманці Криптовалюта

Винос:

• Anubis — це нове шкідливе програмне забезпечення, націлене на Криптовалюта гаманці та інші конфіденційні дані. Він вперше став доступним для продажу на Ринки дарквебу в червні, і зараз Microsoft бачила обмежені кампанії атак з його використанням.
• Експерти рекомендують не відвідувати неоднозначні веб-сайти та не відкривати дивні чи підозрілі вкладення, посилання чи електронні листи.
• Зростаючий інтерес до криптовалют, який ми спостерігаємо в останні місяці, зазвичай викликає інтерес у нових користувачів, які можуть бути особливо сприйнятливими до таких атак.

Нова форма зловмисного програмного забезпечення під назвою Anubis вже з’явилася у світі після того, як у червні вона була поширена для продажу на темних Ринки кіберзлочинності. відповідно до Microsoft Security Intelligence. Використовуючи розгалужений код від шкідливого програмного забезпечення Loki, Anubis може викрасти ідентифікатори гаманців Криптовалюта , інформацію про систему, інформацію про кредитну картку та інші дані.

Важливо, що це зловмисне програмне забезпечення відрізняється від сімейства банківських зловмисних програм Android, які також називають Anubis. Він приєднується до зростаючого списку шкідливих програм, які шукають уразливі схованки Криптовалюта .

«Зловмисне програмне забезпечення завантажується з певних веб-сайтів. Він викрадає інформацію та надсилає викрадену інформацію на сервер C2 (командний і контрольний) за допомогою команди HTTP POST», — сказав Танмай Ганачарія, партнер-директор із досліджень безпеки Microsoft.

По суті HTTP Post – це Request даних з Інтернету. Він також використовується, коли ви завантажуєте файл або надсилаєте заповнену веб-форму.

Дивіться також: Хакер викрав особисті дані 1000 трейдерів із служби звітності про податкові Крипто

«Після успішного виконання він намагається викрасти інформацію та надсилає вкрадену інформацію на сервер C2 через команду HTTP POST», — сказав він. «Команда post надсилає конфіденційну інформацію, яка може включати ім’я користувача та паролі, наприклад облікові дані, збережені в браузерах, інформацію про кредитні картки та ідентифікатори гаманців Криптовалюта ».

Уникнення Анубіса: що ми знаємо

Пархам Ефтехарі, виконавчий директор Cybersecurity Collaborative, форуму для професіоналів у сфері безпеки, переглянув зображення коду, опубліковані Microsoft, і сказав, що не було оприлюднено багато інформації про шкідливе програмне забезпечення Windows Anubis.

Але бот Loki (з якого було взято код Anubis) поширювався через електронні листи соціальної інженерії з вкладеннями з розширенням «.iso». Ці повідомлення маскувались під замовлення та пропозиції від інших компаній і надсилалися на загальнодоступні електронні адреси компанії, іноді з власного сайту компанії.

Коли справа доходить до уникнення Анубіса, Ефтехарі сказав, що люди не повинні відкривати будь-які вкладення чи електронні листи, яких вони не очікують або які здаються незнайомими.

«Вони повинні розгорнути програми захисту від зловмисного програмного забезпечення у своїх системах, а також часто сканувати й оновлювати їх», — сказав він. «Нарешті, під час доступу до конфіденційних облікових записів, таких як банківські програми, вони повинні використовувати безпечні або Політика конфіденційності браузери, які можуть запобігти зловмисному програмному забезпеченню записувати натискання клавіш або знімки екрана».

Ганачарія сказав, що, як і багато інших загроз, це нове шкідливе програмне забезпечення намагається залишатися поза увагою, тому воно T має очевидних візуальних підказок. Користувачі можуть перевірити наявність підозрілих файлів і запущених процесів (наприклад, ASteal.exe, Anubis Stealer.exe), а також підозрілий мережевий трафік.

Дивіться також: Binance та Oasis Labs засновують альянс для боротьби з Крипто шахрайством і зломами

Зі свого боку, Microsoft оновила свій Defender Advanced Threat Protection (Microsoft Defender ATP) для виявлення зловмисного програмного забезпечення Anubis і буде стежити за ним, щоб побачити, чи почнуть поширюватися кампанії. Microsoft Defender ATP використовує хмарний захист на основі ШІ для захисту від нових і невідомих загроз у режимі реального часу

Іншим користувачам слід остерігатися відвідування невідомих або підозрілих веб-сайтів або відкриття підозрілих електронних листів, вкладень і URL-адрес, сказав Ганачаря. Крім того, користувачі можуть увімкнути блокування небажаних програм у Microsoft Edge, щоб отримати захист від майнерів Криптовалюта та іншого програмного забезпечення, яке може вплинути на продуктивність пристроїв.

Але для професіоналів із безпеки під час аналізу системи є контрольні ознаки. ONE з них є індикатори компромісу, тобто індикатори порушення системи. Це може включати незвичайний вихідний мережевий трафік або незвичайну активність в обліковому записі.

Шкідливе програмне забезпечення та Криптовалюта

Хоча зловмисне програмне забезпечення або програмне забезпечення, створене як зловмисне, T є чимось новим, воно все частіше зачіпає спільноту Криптовалюта .

«Протягом останніх трьох років ми спостерігаємо збільшення кількості зловмисних програм, націлених на комп’ютери користувачів, які, окрім спроби запису/викрадення паролів, спеціалізуються на збиранні системи жертви для отримання криптовалюти», — сказав Паоло Ардоіно, технічний директор Bitfinex.

Ardoino сказав, що технічно підковані власники Криптовалюта зазвичай використовують апаратний гаманець і зберігають свій початковий код (інформацію, яка генерує та відновлює гаманець) в автономному режимі. Однак менш досвідчені користувачі, боячись втратити початкову суму для свого гаманця, можуть KEEP її на своєму комп’ютері. Тоді зловмисне програмне забезпечення може отримати доступ до менеджера паролів або іншого сайту онлайн-сховища, поки користувач отримує доступ до нього, а також копіювати та вставляти паролі.

Дивіться також: Соціальна інженерія: чума на Крипто і Twitter, яку навряд чи зупиниться

Ще одна атака, яку може здійснити зловмисне програмне забезпечення, згідно з Ardoino, полягає в тому, щоб перевірити, чи працює на комп’ютері вузол блокчейну, який має незахищений файл гаманця. Навіть якщо цей файл гаманця має пароль, якщо зловмисне програмне забезпечення включає в себе запис натискань клавіш (або кейлоггер), воно може захопити все, що вводить користувач на комп’ютері.

Він сказав, що існує багато нюансів, але оскільки Криптовалюта наближається до масового впровадження, неохайна практика зберігання може зробити Криптовалюта гаманці людей легшими для націлювання, ніж банки чи навіть кредитні картки.

Зростання Bitcoin (BTC) та ефір (ETH), подібно до тих, які ми бачили в останні місяці, можуть викликати інтерес у нових користувачів, які можуть бути особливо сприйнятливими до таких атак.

Пандемія створює нові вразливі місця

Загроза зловмисного програмного забезпечення лише зросла, оскільки під час пандемії коронавірусу люди змушені працювати та жити віддалено, збільшуючи кількість часу, який вони проводять в Інтернеті, і кількість систем, якими вони користуються.

Дивіться також: Ці незаконні SIM-карти роблять зломи легшими, як Twitter

За словами а останній звіт від Malwarebytes, компанії, що спеціалізується на боротьбі зі зловмисним програмним забезпеченням, такі програми, як AveMaria та NetWiredRC, які дозволяють взломи, як-от доступ до віддаленого робочого столу та крадіжки паролів, значно зросли під час пандемії. Вони виявили, що AveMaria зросла на 1219% із січня по квітень порівняно з 2019 роком; NetWiredRC спостерігав збільшення виявлення на 99% із січня по червень, головним чином націленим на бізнес.

Чи очевидний захист є найкращим захистом?

Пол Уолш, генеральний директор компанії з кібербезпеки MetaCert, сказав, що, враховуючи виявлені вектори атак, традиційні моделі ідентифікації та захисту від цих атак є помилковими.

За словами Уолша, переважна більшість зловмисного програмного забезпечення доставляється через фішинг електронної пошти та шкідливі URL-адреси, кількість яких перевищує кількість небезпечних вкладень (наприклад, Anubis) п’ять до ONE.

«Більшість проблем із безпекою, пов’язаних із небезпечними URL-адресами, залишаються непоміченими й, отже, не блокуються», — сказав він.

Дивіться також: Підхід Whac-a-Mole YouTube до реклами Крипто шахрайства залишається проблемою

У світі існують тисячі постачальників засобів безпеки, але лише невелика кількість володіють власними «системами аналізу загроз» — модний термін для великої бази даних загроз і потенційних загроз. Ці компанії ліцензують ці дані іншим компаніям. Хоча компанія Уолша Metacert має систему аналізу загроз, вони можуть мати URL-адреси, які Google, наприклад, не T. У кращому випадку це клаптеве рішення.

І якщо люди адаптують фішингові атаки для конкретної компанії, збиток зазвичай завдається досить швидко, перш ніж база даних безпеки або фірма дізнаються про існування адаптованого веб-сайту.

За словами Уолша, тривалість життя або часовий проміжок, протягом якого фішингова атака досягла своєї мети, становить близько семи хвилин. Але охоронним компаніям може знадобитися до двох-трьох днів, щоб виявити та VET нові фішингові атаки, особливо якщо вони призначені для компанії чи окремої особи.

Волш каже, що надійні паролі та двофакторна аутентифікація важливі. Yubikey, по суті апаратна версія двофакторної автентифікації, є ONE кроком вище, але підтримується не всіма веб-сайтами.