Поле памяти Solana используется хакерами для запуска скрытого вредоносного ПО

- Хакеры используют поле memo в Solanaдля запуска скрытого вредоносного ПО, которое крадет данные криптокошельков.
- Атака состоит из трех этапов, начиная с установки вредоносного пакета.
- Вредоносная программа нацелена на расширения для браузеров и аппаратные кошельки, и она может красть данные браузера.
Хакеры отказываются от обычных серверов и используют децентрализованные системы для атак на разработчиков и кражи их криптовалютных средств. Они полностью заменяют традиционные серверы управления и контроля (C2) децентрализованными решениями.
В этой атаке вредоносное ПО использует уязвимость блокчейна Solana . Оно использует поле memo транзакций Solana для запуска скрытого вредоносного ПО, которое крадет данные криптокошельков и даже фразы восстановления аппаратных кошельков.
Поле для примечаний изначально предназначалось для простых записей о транзакциях, но теперь злоумышленники используют его в качестве скрытого канала связи. Это превращает общедоступную функцию блокчейна в скрытый канал для управления вредоносным ПО.
Децентрализованные служебные записки, подобные запискам Solana, являются общедоступными и постоянными, и ни одна отдельная сторона не может их удалить. Кроме того, злоумышленники могут обновлять инструкции, не изменяя вредоносное ПО.
Данная кампания считается новой версией вредоносной программы GlassWorm, которая активна как минимум с 2022 года.
Меморандумы Solana выступают в качестве средства разрешения тайников
По данным исследователей безопасности из Aikido, атака состоит из трех этапов или трех полезных нагрузок. Первый этап/полезная нагрузка — это всего лишь точка входа. Он начинается, когда разработчик устанавливает вредоносный пакет из репозиториев с открытым исходным кодом, таких как npm, PyPI, GitHub или OpenVSX.
Затем вредоносная программа проверяет, является ли системная локаль русской, и если да, то не продолжает атаку. Это связано с тем, что злоумышленники, скорее всего, находятся в России и не хотят быть пойманными властями. После установки вредоносная программа использует блокчейн Solana для получения IP-адреса командно-контрольного (C2) сервера злоумышленника. Она ищет в Solana конкретную транзакцию, содержащую IP-адрес C2-сервера в поле memo.
Затем вредоносная программа подключается к серверу управления и запускает второй этап атаки. На этом этапе вредоносная программа ищет криптографические данные, такие как сид-фразы, закрытые ключи и даже скриншоты кошельков. Она нацелена на кошельки, созданные с помощью расширений для браузеров, такие как MetaMask, Phantom, Coinbase, Exodus, Binance, Ronin, Keplr и другие.
Вредоносная программа также ищет данные браузера, такие как сеансы входа в систему, токены сеансов и доступ к облачным сервисам. Это означает, что она может получить доступ к централизованным учетным записям Exchange, npm, GitHub и AWS.
После сбора данных вредоносная программа сжимает их в ZIP-файл и отправляет на сервер злоумышленника.

Аппаратные кошельки становятся мишенью фишинговых атак
Последняя полезная нагрузка разделяется на две части. Первая часть — это исполняемый файл .NET, который ищет аппаратные кошельки, такие как Ledger и Trezor. Если он находит такой кошелек, то отображает поддельное сообщение об ошибке, которое обманом заставляет пользователя ввести свою фразу восстановления.
Вторая часть — это основанный на WebSocket JavaScript-троян (троян удаленного доступа), который крадет данные браузера. Он также устанавливает поддельное расширение Chrome, которое отслеживает определенные сайты, такие как биржи, и крадет файлы cookie в режиме реального времени. Он загружается через событие Google Календаря в качестве передатчика данных. Такой подход позволяет злоумышленнику скрыть реальный сервер, обойти фильтры безопасности и действует как косвенный уровень доставки.
В отличие от второго этапа, где вредоносное ПО только крадет данные браузера, этот RAT (Remote Active Directory) имеет возможность управления в режиме реального времени. Он остается активным и отслеживает браузер. Он перехватывает новые cookie-файлы, tracактивные сессии, такие как авторизованные учетные записи Exchange, регистрирует нажатия клавиш и делает снимки экрана. Более того, он позволяет злоумышленнику выполнять команды на компьютере жертвы.
Удалить GlassWorm сложно. Вредоносная программа может повторно загрузить себя и сохраниться после перезагрузки. Она также использует резервные методы, такие как поиск в распределенной хеш-таблице (DHT) и меморандумы Solana , для определения управляющего сервера.
Поскольку центрального сервера нет, и данные передаются между множеством компьютеров, защитникам становится сложно заблокировать атаку на сетевом уровне.
Не просто читайте новости о криптовалютах. Разберитесь в них. Подпишитесь на нашу рассылку. Это бесплатно.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.

Ранда Мозес
Ранда Мозес — редактор и репортер Cryptopolitan освещающая темы технологий, искусственного интеллекта, робототехники, криптовалют, мошенничества и взломов. Она работает в криптопространстве с 2017 года. Ранее работала в Forward Protocol, AmaZix и Cryptosomniac. Ранда имеет степень в области электротехники иtron, полученную в Университете Брэдфорда.
















