Novo malware detectado na natureza que coloca carteiras de Criptomoeda em risco

Conclusão:

• Anubis é um novo malware que pode ter como alvo carteiras de Criptomoeda e outros dados sensíveis. Ele se tornou disponível para venda em Mercados da darkweb em junho, e a Microsoft agora viu campanhas de ataque limitadas usando-o.
• Especialistas recomendam não visitar sites suspeitos nem abrir anexos, links ou e-mails estranhos ou suspeitos.
• O interesse crescente por criptomoedas, como o que temos visto nos últimos meses, geralmente desperta interesse em novos usuários que podem ser particularmente suscetíveis a esses tipos de ataques.

Uma nova forma de malware chamada Anubis já está disponível no mundo após ter circulado para venda em Mercados obscuros de crimes cibernéticos em junho, de acordo com Microsoft Security Intelligence. Usando código bifurcado do malware Loki, o Anubis pode roubar IDs de carteiras de Criptomoeda , informações do sistema, informações de cartão de crédito e outros dados.

Importante, esse malware é diferente de uma família de malware bancário para Android também chamada de Anubis. Ele se junta a uma lista crescente de malwares que procuram esconderijos vulneráveis ​​de Criptomoeda .

“O malware é baixado de certos sites. Ele rouba informações e as envia para um servidor C2 (comando e controle) por meio de um comando HTTP POST”, disse Tanmay Ganacharya, diretor parceiro de pesquisa de segurança da Microsoft.

HTTP Post é basicamente uma Request de dados da internet. Também é usado quando você está carregando um arquivo ou enviando um formulário web preenchido.

Veja também:Hacker roubou dados pessoais de 1.000 traders do serviço de relatórios de impostos sobre Cripto

“Quando executado com sucesso, ele tenta roubar informações e envia informações roubadas para um servidor C2 via comando HTTP POST”, ele disse. “O comando post envia de volta informações sensíveis que podem incluir nome de usuário e senhas, como credenciais salvas em navegadores, informações de cartão de crédito e IDs de carteira de Criptomoeda .”

Evitando Anúbis: O que sabemos

Parham Eftekhari, diretor executivo do Cybersecurity Collaborative, um fórum para profissionais de segurança, analisou as imagens do código tuitadas pela Microsoft e disse que não foram divulgadas muitas informações sobre o malware Anubis do Windows.

Mas o bot Loki (do qual o código Anubis foi tirado) foi espalhado por e-mails de engenharia social com anexos com extensões “.iso”. Essas mensagens se disfarçavam como pedidos e ofertas de outras empresas e eram enviadas para endereços de e-mail de empresas disponíveis publicamente, às vezes do próprio site da empresa.

Quando se trata de evitar o Anubis, Eftekhari disse que as pessoas não devem abrir anexos ou e-mails que não estejam esperando ou que pareçam desconhecidos.

“Eles devem implantar aplicativos antimalware em seus sistemas e escanear e atualizar com frequência”, disse ele. “Finalmente, ao acessar contas sensíveis, como aplicativos bancários, eles devem empregar navegadores seguros ou de Política de Privacidade que podem impedir que malware registre pressionamentos de tecla ou capturas de tela.”

Ganacharya disse que, como muitas ameaças, esse novo malware tenta ficar fora do radar, então T tem pistas visuais óbvias. Os usuários podem verificar a presença de arquivos suspeitos e processos em execução (por exemplo, ASteal.exe, Anubis Stealer.exe), bem como tráfego de rede suspeito.

Veja também:Binance e Oasis Labs lançam aliança para combater fraudes e hacks de Cripto

Por sua vez, a Microsoft atualizou seu Defender Advanced Threat Protection (Microsoft Defender ATP) para detectar malware Anubis e o monitorará para ver se as campanhas começam a se espalhar. O Microsoft Defender ATP usa proteção fornecida pela nuvem com tecnologia de IA para se defender contra ameaças novas e desconhecidas em tempo real

Outros usuários devem ter cuidado ao visitar sites desconhecidos ou suspeitos, ou abrir e-mails, anexos e URLs suspeitos, disse Ganacharya. Além disso, os usuários podem ativarbloqueio de aplicativos indesejados no Microsoft Edge para obter proteção contra mineradores de Criptomoeda e outros softwares que podem afetar o desempenho dos dispositivos.

Mas para profissionais de segurança, há sinais reveladores ao analisar um sistema. Um deles são os indicadores de comprometimento, que são indicadores de que um sistema foi violado. Eles podem incluir tráfego de rede de saída incomum ou atividade incomum em uma conta.

Malware e Criptomoeda

Embora o malware, ou software projetado para ser malicioso, T seja novo, ele está sendo cada vez mais utilizado na comunidade de Criptomoeda .

“Nos últimos três anos, temos visto um aumento no número de malwares que têm como alvo computadores de usuários que, além de tentar registrar/roubar senhas, são especializados em coletar criptomoedas do sistema da vítima”, disse Paolo Ardoino, CTO da Bitfinex.

Ardoino disse que detentores de Criptomoeda experientes em tecnologia geralmente usam uma carteira de hardware e armazenam sua semente (as informações que geram e recuperam uma carteira) offline. Usuários menos experientes, no entanto, devido ao medo de perder a semente de sua carteira, podem KEEP la armazenada em seu computador. O malware é então capaz de acessar o gerenciador de senhas ou outro site de armazenamento online enquanto o usuário o acessa, e copiar e colar senhas.

Veja também:Engenharia social: uma praga na Cripto e no Twitter, improvável que pare

Outro ataque que o malware pode executar, de acordo com Ardoino, é ver se o computador executa um nó de blockchain que tem um arquivo de carteira desprotegido. Mesmo que esse arquivo de carteira tenha uma senha, se o malware envolver um gravador de pressionamento de tecla (ou keylogger), ele pode capturar o que um usuário no computador digitar.

Ele disse que há muitas nuances, mas à medida que a Criptomoeda se aproxima da adoção em massa, práticas de custódia desleixadas podem tornar as carteiras de Criptomoeda das pessoas mais fáceis de atingir do que bancos ou até mesmo cartões de crédito.

Aumentos no Bitcoin (BTC) e éter (ETH), como os que vimos nos últimos meses, podem despertar o interesse de novos usuários que podem ser particularmente suscetíveis a esses tipos de ataques.

Pandemia traz novas vulnerabilidades

A ameaça de malware só aumentou à medida que as pessoas foram forçadas a trabalhar e viver remotamente durante a pandemia do coronavírus, aumentando a quantidade de tempo que passam online e o número de sistemas que usam.

Veja também:Esses cartões SIM ilícitos estão facilitando hacks como o do Twitter

De acordo com umrelatório recenteda Malwarebytes, uma empresa especializada em combater malware, programas como AveMaria e NetWiredRC, que permitem violações como acesso remoto à área de trabalho e roubo de senhas, tiveram grandes aumentos no uso durante a pandemia. Eles descobriram que o AveMaria teve um aumento de 1.219% de janeiro a abril em comparação a 2019; o NetWiredRC observou um aumento de 99% nas detecções de janeiro a junho, visando principalmente empresas.

A defesa óbvia é a melhor defesa?

Paul Walsh, CEO da empresa de segurança cibernética MetaCert, disse que, dados os vetores de ataque identificados, os modelos tradicionais de identificação e proteção contra esses ataques são equivocados.

A grande maioria do malware é entregue por meio de phishing de e-mail e URLs maliciosos, que superam em número os anexos perigosos (como o Anubis) em cinco para um, de acordo com Walsh.

“A maioria dos problemas de segurança que envolvem URLs perigosos não são detectados e, portanto, [não são] bloqueados”, disse ele.

Veja também:A abordagem Whac-a-Mole do YouTube para anúncios de golpes de Cripto continua sendo um problema

Existem milhares de fornecedores de segurança no mundo, mas apenas um pequeno número possui seus próprios “sistemas de inteligência de ameaças” – um termo chique para um grande banco de dados de ameaças e ameaças potenciais. Essas empresas licenciam esses dados para outras empresas. Embora a empresa de Walsh, Metacert, tenha um sistema de inteligência de ameaças, eles podem ter URLs que o Google, por exemplo, não T. É uma solução fragmentada, na melhor das hipóteses.

E se as pessoas estão adaptando ataques de spear-phishing para uma empresa específica, o dano geralmente é feito muito rapidamente, antes que um banco de dados de segurança ou empresa perceba que existe um site personalizado.

O tempo de vida, ou o intervalo de tempo dentro do qual um ataque de phishing atingiu seu objetivo, é de cerca de sete minutos, disse Walsh. Mas as empresas de segurança podem levar até dois ou três dias para identificar e VET novos ataques de phishing, principalmente se forem personalizados para uma empresa ou indivíduo.

Walsh diz que senhas fortes e autenticação de dois fatores são importantes. Yubikey, essencialmente uma versão de hardware de autenticação de dois fatores, é um passo à frente, mas não é suportado por todos os sites.