Πάνω από 28.000 άτομα από τη Ρωσία, την Τουρκία, την Ουκρανία και άλλες χώρες της ευρασιατικής περιοχής βρέθηκαν στο στόχαστρο μιας καμπάνιας κλοπής crypto.
Το κακόβουλο λογισμικό μεταμφιέζεται σε νόμιμο λογισμικό που προωθείται μέσω βίντεο YouTube και δόλιων GitHub repositories. Τα θύματα καλούνται να κατεβάσουν κάποια αρχεία που προστατεύονται με κωδικό πρόσβασης, και είναι αυτά τελικά που προκαλούν τη μόλυνση.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας Dr. Web, η καμπάνια κλοπής crypto χρησιμοποιεί πειρατικό office-related software, game cheats, hacks και bot αυτοματοποιημένων συναλλαγών για να εξαπατήσει τους χρήστες να κατεβάσουν τα κακόβουλα αρχεία.
Οι ερευνητές είπαν ότι έχουν επηρεαστεί πάνω από 28.000 άνθρωποι. Οι περισσότεροι είναι κάτοικοι της Ρωσίας. Σημαντικός αριθμός μολύνσεων έχει επίσης παρατηρηθεί στη Λευκορωσία, το Ουζμπεκιστάν, το Καζακστάν, την Ουκρανία, το Κιργιστάν και την Τουρκία.
Εξερεύνηση του Άρη από ανθρώπους έως το 2035
Δείτε επίσης: Lego: Παραβιάστηκε το site της για προώθηση crypto scam
Πώς γίνεται η μόλυνση;
Η μόλυνση ξεκινά με το άνοιγμα ενός self-extracting archive που αποφεύγει τις σαρώσεις λογισμικών προστασίας από ιούς, καθώς προστατεύεται με κωδικό πρόσβασης. Αφού το θύμα εισαγάγει τον παρεχόμενο κωδικό πρόσβασης, το αρχείο εγκαθιστά διάφορα obfuscated scripts, DLL files και ένα AutoIT interpreter, που χρησιμοποιείται για την εκκίνηση του loader του βασικού κακόβουλου payload (που ασχολείται με την κλοπή crypto).
Το κακόβουλο λογισμικό ελέγχει αν υπάρχουν εργαλεία εντοπισμού σφαλμάτων, για να δει εάν εκτελείται στο περιβάλλον ενός αναλυτή. Αν διαπιστώσει κάτι τέτοιο, τερματίζει τη λειτουργία του. Στη συνέχεια, εξάγει τα αρχεία που απαιτούνται για τα επόμενα στάδια της επίθεσης και χρησιμοποιεί την τεχνική Image File Execution Options (IFEO) για να τροποποιήσει το Windows Registry και να εξασφαλίσει persistence.
Στην ουσία, το malware εμπλέκει νόμιμες υπηρεσίες συστήματος των Windows καθώς και τις διαδικασίες ενημέρωσης του Chrome και του Edge με κακόβουλες ενέργειες, ώστε τα αρχεία κακόβουλου λογισμικού να εκτελούνται κατά την εκκίνηση αυτών των διαδικασιών.
Οι ερευνητές παρατήρησαν ότι το Windows Recovery Service απενεργοποιείται και τα δικαιώματα “διαγραφής” και “τροποποίησης” στα αρχεία και τους φακέλους του κακόβουλου λογισμικού ανακαλούνται για να αποτραπούν απόπειρες εκκαθάρισης.
Δείτε επίσης: Άνδρας ομολόγησε την κλοπή crypto αξίας $ 37 εκατ.
Από εκεί και πέρα, το Ncat network utility χρησιμοποιείται για τη δημιουργία επικοινωνίας με τον διακομιστή εντολών και ελέγχου (C2).
Το κακόβουλο λογισμικό μπορεί επίσης να συλλέξει πληροφορίες συστήματος.
Επιπτώσεις
Τελικά, παραδίδονται δύο βασικά payloads στα μηχανήματα των θυμάτων. Το πρώτο είναι το “Deviceld.dll“, μια τροποποιημένη βιβλιοθήκη .NET που χρησιμοποιείται για την εκτέλεση του SilentCryptoMiner, το οποίο εξορύσσει crypto χρησιμοποιώντας τους υπολογιστικούς πόρους του θύματος.
Το δεύτερο payload είναι το “7zxa.dll“, μια τροποποιημένη βιβλιοθήκη 7-Zip που λειτουργεί ως clipper, παρακολουθώντας το πρόχειρο των Windows για αντιγραμμένες διευθύνσεις πορτοφολιού. Το malware αντικαθιστά τις διευθύνσεις με άλλες που βρίσκονται υπό τον έλεγχο του εισβολέα.
Προστασία crypto
Για να αποφύγετε την κλοπή των crypto σας, κατεβάστε νόμιμο λογισμικό μόνο από τον επίσημο ιστότοπο ενός project και αποκλείστε ή παραλείψτε τα χορηγούμενα αποτελέσματα στην Αναζήτηση Google.
Επιπλέον, να είστε προσεκτικοί με τους κοινόχρηστους συνδέσμους στο YouTube ή στο GitHub και σε άλλες πλατφόρμες (social media κλπ) καθώς οι εγκληματίες του κυβερνοχώρου τις εκμεταλλεύονται για να ξεγελάσουν τους χρήστες.
Δείτε επίσης: Το Linux malware “perfctl” χρησιμοποιείται για cryptomining
Ενημερωθείτε τακτικά για νέους τύπους απατών και παραμείνετε σε εγρήγορση όταν συμμετέχετε σε δραστηριότητες που σχετίζονται με crypto. Οι επιθέσεις phishing μέσω email, ψεύτικων ιστοσελίδων και μέσων κοινωνικής δικτύωσης είναι κοινές μέθοδοι που χρησιμοποιούνται από απατεώνες. Να ελέγχετε πάντα τη διεύθυνση URL των ιστότοπων και να μην κάνετε ποτέ κλικ σε ύποπτους συνδέσμους ή λήψη συνημμένων από άγνωστες πηγές.
Γενικά, η προστασία των crypto απαιτεί τη λήψη προληπτικών μέτρων, όπως η χρήση ασφαλών πορτοφολιών, η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων, η ενημέρωση του λογισμικού, η μη αποκάλυψη προσωπικών στοιχείων και η επαγρύπνηση έναντι απατών.
Πηγή: www.bleepingcomputer.com
