Группа специалистов по безопасности Microsoft 365 сообщила о росте активности вредоносных программ и методов нового типа под названием Cryware, позволяющих воровать активы с горячих криптокошельков.

С помощью Сryware, говорится в отчете исследовательской группы, злоумышленники производят поиск криптовалютного программного обеспечения на атакуемых устройствах, а также собирают и извлекают критически важные данные для доступа к горячим криптовалютным кошелькам будущей жертвы.

Для поиска данных горячего кошелька, такие как закрытые ключи, исходные фразы и адреса, злоумышленники могут использовать паттерны, включающие типичные выражения, слова или набор символов, учитывая, что они обычно соответствуют определенному шаблону.

В 2021 году пользователь Reddit опубликовал сообщение о том, что потерял эфира на сумму $78 000 из-за того, что хранил исходную фразу своего кошелька в небезопасном месте. Злоумышленник, получил доступ к устройству цели и установил программу Сryware, которая обнаружила конфиденциальные данные.

Получив доступ к данным горячего кошелька, злоумышленники способны использовать его для быстрого перевода криптовалюты на свои собственные кошельки. К сожалению для бывших владельцев этих активов, такая кража необратима: транзакции в блокчейне являются окончательными, даже если они были совершены без согласия или ведома пользователя. Кроме того, в отличие от большинства прочих финансовых транзакций, пока не существует доступных механизмов, которые могли бы помочь отменить мошеннические переводы криптовалюты или защитить пользователей от таковых.

Возможные сценарии атаки Сryware:

Отсечение и переключение

Программа Сryware отслеживает содержимое буфера обмена пользователя и использует шаблоны поиска строк для поиска и идентификации строки, напоминающей адрес горячего криптовалютного кошелька. Если пользователь вставляет или использует CTRL + V в окне приложения, то Cryware заменяет объект в буфере обмена адресом злоумышленника.

Извлечение данных из дампа памяти

Злоумышленники исследуют дамп памяти, который в ряде случаев может отображать закрытые ключи в виде открытого текста. Критически важная информация может остаться в памяти процесса браузера, выполняющего эти действия, а сценарий позволит злоумышленнику выгрузить процесс браузера и получить закрытый ключ.

Кража файлов кошелька

Самый простой, но не менее эффективный способ украсть данные горячего кошелька — это атаковать файлы хранилища приложения. В этом сценарии злоумышленник просматривает файловую систему целевого пользователя, определяет, какие приложения кошелька установлены, а затем извлекает для взлома заранее определенный список файлов.

·       Файлы браузерного веб-кошелька.

Поскольку некоторые горячие кошельки устанавливаются как расширения браузеров, с использованием уникальных идентификаторов и расширений, злоумышленник может достаточно просто локализовать хранилище веб-кошелька, где содержится зашифрованный закрытый ключ пользователя.

·       Файлы десктопного кошелька.

Часть горячих кошельков устанавливают непосредственно на компьютерное устройство пользователя. Однако закрытые ключи, также, как и в браузерной версии, хранятся локально в файлах хранилища приложений, специфичных для каждого кошелька.

·       Пароли кошелька.

Замечено, что некоторые пользователи не утруждают себя запоминанием паролей и хранят их, исходные фразы и закрытые ключи не только в приложениях для управления паролями, но даже в виде данных автозаполнения браузеров. Злоумышленники могут достаточно просто войти на зараженное устройство, чтобы обнаружить менеджеры паролей, установленные локально. Или эксфильтровать данные браузера, которые потенциально могут содержать сохраненные пароли.

Кейлоггинг

Еще одна популярная и широко применяемая техника для кражи информации— кейлоггинг. Как и другие вредоносные программы, использующие этот метод, программа для кейлогинга обычно работает в фоновом режиме и регистрирует нажатия клавиш, вводимые пользователем. Затем она отправляет собранные данные на C2-сервер, контролируемый злоумышленниками.

Меры превентивной защиты от Сryware

Специалисты по безопасности Microsoft предлагают владельцам криптовалютных активов предпринять следующие шаги для защиты конфиденциальной информации от воздействия криминального ПО Сryware:

  • Блокируйте активную работу криптокошельков, когда не проводите финансовые операции. 
  • Отключайте сайты, подключенные к криптокошельку во время простоя в работе. Функция отключения горячего кошелька гарантирует, что веб-сайт или приложение не будут взаимодействовать с кошельком пользователя без его ведома. 
  • Воздержитесь от хранения закрытых ключей. Никогда не храните сид-фразы на устройстве или в облачных хранилищах в виде открытого текста. 
  • Будьте внимательны при копировании и вставке информации. При копировании адреса кошелька для транзакции несколько раз перепроверьте, действительно ли значение адреса соответствует указанному в кошельке. 
  • Убедитесь, что сеансы браузера завершаются после каждой транзакции, чтобы закрытый ключ не остался в памяти процесса браузера. Также необходимо правильно закрыть или перезапустить процессы браузера после импорта ключей. 
  • Рассмотрите возможность использования криптовалютных кошельков, реализующих многофакторную аутентификацию (MFA). Это не позволит злоумышленникам входить в приложения кошелька без нужного уровня аутентификации.
  • Помните о вероятности фишинговой атаки, поэтому будьте осторожны со ссылками на веб-сайты и приложения кошелька.
  • Несколько раз перепроверяйте транзакции и одобрения горячего криптокошелька. Убедитесь, что контракт, требующий утверждения, действительно инициирован.
  • Ни при каких обстоятельствах не делитесь закрытыми ключами или исходными фразами с третьими лицами.
  • Используйте аппаратный кошелек, если он не требует активного подключения к устройству. Аппаратные кошельки хранят закрытые ключи в автономном режиме.
  • Проверяйте расширения загруженных и сохраненных файлов. Для этого в Windows необходимо включить «Расширения имен файлов» в разделе «Просмотр» проводника, чтобы увидеть фактические расширения файлов на устройстве.

Ранее исследователь цифровой безопасности под ником 3xp0rt опубликовал в своем блоге статью о том, как троянский вирус Mars Stealer атакует браузерные криптокошельки. В марте российские правоохранительные органы сообщили о задержании подозреваемых в разработке компьютерного вируса для кражи активов с криптокошельков. Злоумышленники рассылали будущим жертвам ссылку на специальную программу, которая компрометировала данные и пароли от криптокошельков.