Обнаружено новое вредоносное ПО, подвергающее риску Криптовалюта кошельки

Вывод:

• Anubis — это новое вредоносное ПО, которое может атаковать Криптовалюта кошельки и другие конфиденциальные данные. Впервые оно поступило в продажу на Рынки даркнета в июне, и теперь Microsoft наблюдает ограниченные кампании атак с его использованием.
• Эксперты рекомендуют не посещать сомнительные веб-сайты и не открывать странные или подозрительные вложения, ссылки или электронные письма.
• Рост интереса к криптовалютам, подобный тому, что мы наблюдаем в последние месяцы, обычно вызывает интерес у новых пользователей, которые могут быть особенно уязвимы для подобных атак.

Новая форма вредоносного ПО под названием Anubis появилась в мире после того, как в июне она поступила в продажу на черных Рынки киберпреступности. в соответствии с Microsoft Security Intelligence. Используя форк-код вредоносного ПО Loki, Anubis может красть идентификаторы Криптовалюта кошельков, системную информацию, информацию о кредитных картах и ​​другие данные.

Важно отметить, что эта вредоносная программа отличается от семейства банковских вредоносных программ Android, также называемых Anubis. Она присоединяется к растущему списку вредоносных программ, которые ищут уязвимые тайники Криптовалюта .

«Вредоносное ПО загружается с определенных веб-сайтов. Оно крадет информацию и отправляет украденную информацию на сервер C2 (командно-контрольный) с помощью команды HTTP POST», — сказал Танмай Ганачарья, партнер-директор по исследованиям безопасности в Microsoft.

HTTP Post — это, по сути, Request данных из интернета. Он также используется, когда вы загружаете файл или отправляете заполненную веб-форму.

Смотрите также:Хакер украл персональные данные 1000 трейдеров из службы налоговой отчетности по Криптo

«При успешном выполнении он пытается украсть информацию и отправляет украденную информацию на сервер C2 с помощью команды HTTP POST», — сказал он. «Команда POST отправляет обратно конфиденциальную информацию, которая может включать имя пользователя и пароли, например учетные данные, сохраненные в браузерах, информацию о кредитных картах и ​​идентификаторы Криптовалюта кошельков».

Как избежать Анубиса: что мы знаем

Пархам Эфтехари, исполнительный директор Cybersecurity Collaborative, форума для профессионалов в области безопасности, просмотрел изображения кода, опубликованные Microsoft в Twitter, и сказал, что о вредоносном ПО Windows Anubis было опубликовано не так много информации.

Но бот Loki (из которого был взят код Anubis) распространялся через электронные письма социальной инженерии с вложениями с расширениями «.iso». Эти сообщения маскировались под заказы и предложения от других компаний и отправлялись на общедоступные адреса электронной почты компании, иногда с собственного сайта компании.

Эфтехари говорит, что, чтобы избежать Анубиса, людям не следует открывать вложения или электронные письма, которые они не ожидают или которые кажутся незнакомыми.

«Они должны развернуть антивирусные приложения на своих системах, а также часто сканировать и обновлять их», — сказал он. «Наконец, при доступе к конфиденциальным учетным записям, таким как банковские приложения, они должны использовать безопасные или Политика конфиденциальности браузеры, которые могут помешать вредоносным программам записывать нажатия клавиш или делать снимки экрана».

Ганачарья сказал, что, как и многие угрозы, эта новая вредоносная программа пытается оставаться незамеченной, поэтому у нее T очевидных визуальных подсказок. Пользователи могут проверить наличие подозрительных файлов и запущенных процессов (например, ASteal.exe, Anubis Stealer.exe), а также подозрительный сетевой трафик.

Смотрите также:Binance и Oasis Labs создают альянс для борьбы с Криптo и взломами

Со своей стороны, Microsoft обновила свой Defender Advanced Threat Protection (Microsoft Defender ATP) для обнаружения вредоносного ПО Anubis и будет следить за ним, чтобы увидеть, начинают ли распространяться кампании. Microsoft Defender ATP использует облачную защиту на базе искусственного интеллекта для защиты от новых и неизвестных угроз в режиме реального времени

Другие пользователи должны быть осторожны при посещении неизвестных или подозрительных веб-сайтов или открытии подозрительных писем, вложений и URL-адресов, сказал Ганачарья. Кроме того, пользователи могут включитьблокировка нежелательных приложений в Microsoft Edge для защиты от майнеров Криптовалюта и другого программного обеспечения, которое может повлиять на производительность устройств.

Но для специалистов по безопасности есть явные признаки при анализе системы. ONE из них являются индикаторы компрометации, которые являются индикаторами того, что система была взломана. Они могут включать необычный исходящий сетевой трафик или необычную активность в учетной записи.

Вредоносное ПО и Криптовалюта

Хотя вредоносное ПО или программное обеспечение, созданное с целью причинения вреда, T является чем-то новым, оно все чаще применяется в Криптовалюта сообществе.

«За последние три года мы наблюдаем рост числа вредоносных программ, нацеленных на компьютеры пользователей, которые, помимо попыток записи/кражи паролей, специализируются на сборе криптовалют из системы жертвы», — сказал Паоло Ардоино, технический директор Bitfinex.

Ардоино сказал, что технически подкованные владельцы Криптовалюта обычно используют аппаратный кошелек и хранят свой seed (информацию, которая генерирует и восстанавливает кошелек) офлайн. Однако менее опытные пользователи из-за страха потерять seed для своего кошелька могут KEEP его на своем компьютере. Затем вредоносное ПО может получить доступ к менеджеру паролей или другому сайту онлайн-хранилища, пока пользователь получает к нему доступ, и копировать и вставлять пароли.

Смотрите также:Социальная инженерия: чума на Криптo и ​​Twitter, которая вряд ли прекратится

По словам Ардоино, еще одна атака, которую может выполнить вредоносное ПО, заключается в том, чтобы посмотреть, запущен ли на компьютере узел блокчейна с незащищенным файлом кошелька. Даже если этот файл кошелька имеет пароль, если вредоносное ПО использует регистратор нажатий клавиш (или кейлоггер), оно может захватить все, что пользователь печатает на компьютере.

По его словам, существует множество нюансов, но по мере того, как Криптовалюта приближается к массовому принятию, небрежная практика хранения может сделать Криптовалюта кошельки людей более уязвимыми для атак, чем банки или даже кредитные карты.

Рост Bitcoin (BTC) и эфир (ETH), подобные тем, что мы наблюдали в последние месяцы, могут вызвать интерес у новых пользователей, которые могут быть особенно уязвимы для подобных атак.

Пандемия создает новые уязвимости

Угроза вредоносного ПО только возросла, поскольку во время пандемии коронавируса люди были вынуждены работать и жить удаленно, увеличивая количество времени, которое они проводят в сети, и количество используемых ими систем.

Смотрите также:Эти нелегальные SIM-карты упрощают взломы, подобные Twitter

По словамнедавний отчетот Malwarebytes, компании, специализирующейся на борьбе с вредоносным ПО, такие программы, как AveMaria и NetWiredRC, которые позволяют осуществлять такие нарушения, как доступ к удаленному рабочему столу и кражу паролей, значительно увеличили использование во время пандемии. Они обнаружили, что AveMaria выросла на 1219% с января по апрель по сравнению с 2019 годом; NetWiredRC отметила 99%-ный рост обнаружений с января по июнь, в основном нацеленных на бизнес.

Является ли очевидная защита лучшей защитой?

Пол Уолш, генеральный директор компании MetaCert, занимающейся кибербезопасностью, заявил, что, учитывая выявленные векторы атак, традиционные модели выявления этих атак и защиты от них являются ошибочными.

По словам Уолша, подавляющее большинство вредоносных программ распространяется через фишинговые письма и вредоносные URL-адреса, количество которых в пять ONE превышает количество опасных вложений (таких как Anubis).

«Большинство проблем безопасности, связанных с опасными URL-адресами, остаются незамеченными и, следовательно, не блокируются», — сказал он.

Смотрите также:Подход YouTube Whac-a-Mole к рекламе Криптo мошенничества остается проблемой

В мире есть тысячи поставщиков услуг безопасности, но только небольшое их число владеет собственными «системами анализа угроз» — модный термин для большой базы данных угроз и потенциальных угроз. Эти компании лицензируют эти данные другим компаниям. Хотя у компании Уолша Metacert есть система анализа угроз, у них могут быть URL-адреса, которые, например, Google T будет. В лучшем случае это лоскутное решение.

А если люди подстраивают фишинговые атаки под конкретную компанию, ущерб обычно наносится довольно быстро, еще до того, как база данных или фирма безопасности узнает о существовании специализированного веб-сайта.

Продолжительность жизни или временные рамки, в течение которых фишинговая атака достигает своей цели, составляет около семи минут, сказал Уолш. Но компаниям по безопасности может потребоваться до двух-трех дней, чтобы идентифицировать и VET новые фишинговые атаки, особенно если они нацелены на компанию или отдельное лицо.

Уолш говорит, что важны надежные пароли и двухфакторная аутентификация. Yubikey, по сути, аппаратная версия двухфакторной аутентификации, — это ONE вперед, но он поддерживается не всеми веб-сайтами.