Bagong Malware na Nakita sa Ligaw na Naglalagay sa Panganib sa Mga Wallet ng Cryptocurrency

Ang Takeaway:

• Ang Anubis ay isang bagong malware na maaaring mag-target ng mga wallet ng Cryptocurrency at iba pang sensitibong data. Una itong naging available para ibenta sa mga darkweb Markets noong Hunyo, at nakita na ngayon ng Microsoft ang mga limitadong kampanya sa pag-atake na gumagamit nito.
• Inirerekomenda ng mga eksperto na huwag bumisita sa mga sketchy na website o magbukas ng kakaiba o kahina-hinalang mga attachment, link o email.
• Ang pagtaas ng interes ng mga cryptocurrencies, gaya ng nakita natin nitong mga nakaraang buwan, ay kadalasang nagdudulot ng interes sa mga bagong user na maaaring maging partikular na madaling kapitan sa mga ganitong uri ng pag-atake.

Ang isang bagong anyo ng malware na tinatawag na Anubis ay lumabas na ngayon sa mundo pagkatapos na i-circulate para ibenta sa cybercrime dark Markets noong Hunyo, ayon sa Microsoft Security Intelligence. Gamit ang forked code mula sa Loki malware, maaaring nakawin ng Anubis ang mga Cryptocurrency wallet ID, impormasyon ng system, impormasyon ng credit card at iba pang data.

Ang mahalaga, ang malware na ito ay naiiba sa isang pamilya ng Android banking malware na tinatawag ding Anubis. Sumasali ito sa lumalagong listahan ng mga malware na naghahanap ng mga mahihinang Cryptocurrency stashes.

“Ang malware ay dina-download mula sa ilang partikular na website. Nagnanakaw ito ng impormasyon at nagpapadala ng ninakaw na impormasyon sa isang C2 (utos at kontrol) na server sa pamamagitan ng isang HTTP POST na utos, "sabi ni Tanmay Ganacharya, kasosyong direktor ng pananaliksik sa seguridad sa Microsoft.

Ang HTTP Post ay karaniwang isang Request ng data mula sa internet. Ginagamit din ito kapag nag-a-upload ka ng file o nagsusumite ng nakumpletong web form.

Tingnan din ang: Ninakaw ng Hacker ang 1,000 Personal na Data ng Trader Mula sa Serbisyo sa Pag-uulat ng Buwis ng Crypto

"Kapag matagumpay na naisakatuparan ito ay nagtatangkang magnakaw ng impormasyon at nagpapadala ng ninakaw na impormasyon sa isang C2 server sa pamamagitan ng HTTP POST command," sabi niya. "Ang post command ay nagbabalik ng sensitibong impormasyon na maaaring may kasamang username at password, tulad ng mga kredensyal na naka-save sa mga browser, impormasyon ng credit card at mga Cryptocurrency wallet ID."

Pag-iwas sa Anubis: Ang alam natin

Sinuri ni Parham Eftekhari, executive director ng Cybersecurity Collaborative, isang forum para sa mga propesyonal sa seguridad, ang mga larawan ng code na na-tweet ng Microsoft at sinabing hindi gaanong impormasyon tungkol sa Windows Anubis malware ang nailabas.

Ngunit ang Loki bot (kung saan kinuha ang Anubis code) ay ikinalat sa pamamagitan ng mga social engineering email na may mga attachment na may mga extension na ".iso". Ang mga mensaheng ito ay nagkunwaring mga order at alok mula sa ibang mga kumpanya at ipinadala sa mga pampublikong email address ng kumpanya, kung minsan ay mula sa sariling site ng kumpanya.

Pagdating sa pag-iwas sa Anubis, sinabi ni Eftekhari na ang mga tao ay hindi dapat magbukas ng anumang mga attachment o email na hindi nila inaasahan o tila hindi pamilyar.

"Dapat silang mag-deploy ng mga antimalware application sa kanilang mga system at mag-scan at mag-update ng madalas," sabi niya. "Sa wakas, kapag nag-a-access ng mga sensitibong account tulad ng mga application sa pagbabangko, dapat silang gumamit ng mga secure o Privacy browser na maaaring pumigil sa malware sa pag-record ng mga keystroke o screenshot."

Sinabi ni Ganacharya na tulad ng maraming banta, sinusubukan ng bagong malware na ito na manatili sa ilalim ng radar, kaya T itong malinaw na visual na mga pahiwatig. Maaaring tingnan ng mga user kung may mga kahina-hinalang file at tumatakbong proseso (halimbawa, ASteal.exe, Anubis Stealer.exe) pati na rin ang kahina-hinalang trapiko sa network.

Tingnan din ang: Binance at Oasis Labs Naglunsad ng Alliance para Labanan ang Crypto Fraud at Hacks

Para sa bahagi nito, na-update ng Microsoft ang Defender Advanced Threat Protection (Microsoft Defender ATP) nito upang makita ang Anubis malware at susubaybayan ito upang makita kung magsisimulang kumalat ang mga campaign. Ang Microsoft Defender ATP ay gumagamit ng AI-powered cloud-delivered na proteksyon upang ipagtanggol laban sa bago at hindi kilalang mga banta sa real time

Dapat mag-ingat ang ibang mga user sa pagbisita sa hindi kilalang o kahina-hinalang mga website, o pagbubukas ng mga kahina-hinalang email, attachment at URL, sabi ni Ganacharya. Bukod pa rito, maaaring i-on ng mga user hindi gustong pag-block ng app sa Microsoft Edge upang makakuha ng proteksyon laban sa mga minero ng Cryptocurrency at iba pang software na maaaring makaapekto sa performance ng mga device.

Ngunit para sa mga propesyonal sa seguridad mayroong mga palatandaan kapag sinusuri ang isang sistema. Ang ONE sa mga ito ay mga tagapagpahiwatig ng kompromiso, na mga tagapagpahiwatig na ang isang sistema ay nilabag. Maaaring kabilang dito ang hindi pangkaraniwang trapiko sa papalabas na network o hindi pangkaraniwang aktibidad sa isang account.

Malware at Cryptocurrency

Bagama't T na bago ang malware, o software na idinisenyo upang maging malisyoso, ito ay lalong dinadala sa komunidad ng Cryptocurrency .

"Sa nakalipas na tatlong taon, nakakakita kami ng tumaas na bilang ng mga malware na nagta-target sa mga computer ng gumagamit na, bukod sa pagsubok na mag-record/magnakaw ng mga password, ay dalubhasa sa pag-aani ng system ng biktima para sa mga cryptocurrencies," sabi ni Paolo Ardoino, CTO ng Bitfinex.

Sinabi ni Ardoino na ang mga may hawak ng tech-savvy ng Cryptocurrency ay kadalasang gumagamit ng hardware wallet at iniimbak ang kanilang binhi (ang impormasyon na bumubuo at bumabawi ng wallet) offline. Gayunpaman, ang mga hindi gaanong karanasan sa mga gumagamit, dahil sa takot na mawala ang binhi para sa kanilang pitaka, ay maaaring KEEP itong nakaimbak sa kanilang computer. Magagawang i-access ng malware ang tagapamahala ng password o iba pang online na site ng imbakan habang ina-access ito ng user, at kumopya at mag-paste ng mga password.

Tingnan din ang: Social Engineering: Isang Salot sa Crypto at Twitter, Malamang na Hindi Hihinto

Ang isa pang pag-atake na maaaring isagawa ng malware, ayon kay Ardoino, ay ang pagtingin kung ang computer ay nagpapatakbo ng isang blockchain node na may hindi protektadong wallet file. Kahit na may password ang wallet file na iyon, kung ang malware ay may kasamang keystroke recorder (o keylogger) maaari nitong makuha ang anumang uri ng user sa computer.

Sinabi niya na maraming mga nuances, ngunit habang ang Cryptocurrency ay lumalapit sa mass adoption, ang mga palpak na kasanayan sa pag-iingat ay maaaring gawing mas madaling i-target ang mga wallet ng Cryptocurrency ng mga tao kaysa sa mga bangko o kahit na mga credit card.

Mga pagtaas sa Bitcoin (BTC) at eter (ETH), tulad ng mga nakita natin nitong mga nakaraang buwan, ay maaaring magdulot ng interes sa mga bagong user na maaaring maging partikular na madaling kapitan sa mga ganitong uri ng pag-atake.

Ang pandemya ay nagdudulot ng mga bagong kahinaan

Ang banta ng malware ay tumaas lamang habang ang mga tao ay itinulak patungo sa pagtatrabaho at pamumuhay nang malayuan sa panahon ng pandemya ng coronavirus, pinatataas ang dami ng oras na ginugugol nila online at ang bilang ng mga system na kanilang ginagamit.

Tingnan din ang: Ang mga Bawal na SIM Card na ito ay Gumagawa ng mga Pag-hack Tulad ng Mas Madali sa Twitter

Ayon kay a kamakailang ulat mula sa Malwarebytes, isang kumpanyang dalubhasa sa paglaban sa malware, ang mga programa tulad ng AveMaria at NetWiredRC, na nagbibigay-daan sa mga paglabag tulad ng malayuang pag-access sa desktop at pagnanakaw ng password, ay nakakita ng malaking pagtaas sa paggamit sa panahon ng pandemya. Natagpuan nila ang AveMaria na nakakita ng bump na 1,219% mula Enero hanggang Abril kumpara noong 2019; Napansin ng NetWiredRC ang isang 99% na pagtaas sa mga pagtuklas mula Enero hanggang Hunyo, pangunahing nagta-target sa mga negosyo.

Ang malinaw na depensa ba ang pinakamahusay na depensa?

Sinabi ni Paul Walsh, CEO ng kumpanya ng cybersecurity na MetaCert, na dahil sa natukoy na mga vector ng pag-atake, ang mga tradisyonal na modelo para sa pagtukoy at pagprotekta laban sa mga pag-atake na ito ay mali.

Ang karamihan ng malware ay inihahatid sa pamamagitan ng email phishing at mga nakakahamak na URL, na higit sa bilang ng mga mapanganib na attachment (tulad ng Anubis) lima hanggang ONE, ayon kay Walsh.

"Karamihan sa mga isyu sa seguridad na kinasasangkutan ng mga mapanganib na URL ay hindi natukoy at, samakatuwid, ay hindi na-block" sabi niya.

Tingnan din ang: Nananatiling Problema ang Whac-a-Mole Approach ng YouTube sa Crypto Scam Ads

Mayroong libu-libong mga nagbebenta ng seguridad sa mundo, ngunit kakaunti lamang ang nagmamay-ari ng kanilang sariling "mga sistema ng pananakot sa pagbabanta" - isang magarbong termino para sa isang malaking database ng mga banta at potensyal na pagbabanta. Ang mga kumpanyang iyon ay naglilisensya sa data na iyon sa ibang mga kumpanya. Bagama't ang Metacert ng kumpanya ni Walsh ay may threat intelligence system, maaaring mayroon silang mga URL na ang Google, halimbawa, ay T. Ito ay isang tagpi-tagping solusyon sa pinakamahusay.

At kung ang mga tao ay nag-aangkop ng mga pag-atake ng spear-phishing para sa isang partikular na kumpanya, ang pinsala ay kadalasang ginagawa nang napakabilis, bago ang isang database ng seguridad o kumpanya ay maaaring magkaroon ng kamalayan na mayroong isang iniangkop na website.

Ang habang-buhay, o ang time frame kung saan ang pag-atake ng phishing ay nakamit ang layunin nito, ay humigit-kumulang pitong minuto, sabi ni Walsh. Ngunit ang mga kumpanya ng seguridad ay maaaring tumagal ng hanggang dalawa o tatlong araw upang tukuyin at VET ang mga bagong pag-atake sa phishing, lalo na kung ang mga ito ay iniakma para sa isang kumpanya o indibidwal.

Sinabi ni Walsh na mahalaga ang malakas na password at two-factor authentication. Ang Yubikey, mahalagang bersyon ng hardware ng two-factor authentication, ay ONE hakbang, ngunit hindi ito sinusuportahan ng lahat ng website.