Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
Поле памяти Solana используется хакерами для запуска скрытого вредоносного ПО
- Хакеры используют поле memo в Solanaдля запуска скрытого вредоносного ПО, которое крадет данные криптокошельков.
- Атака состоит из трех этапов, начиная с установки вредоносного пакета.
- Вредоносная программа нацелена на расширения для браузеров и аппаратные кошельки, и она может красть данные браузера.
Хакеры отказываются от обычных серверов и используют децентрализованные системы для атак на разработчиков и кражи их криптовалютных средств. Они полностью заменяют традиционные серверы управления и контроля (C2) децентрализованными решениями.
В этой атаке вредоносное ПО использует уязвимость блокчейна Solana . Оно использует поле memo транзакций Solana для запуска скрытого вредоносного ПО, которое крадет данные криптокошельков и даже фразы восстановления аппаратных кошельков.
Поле для примечаний изначально предназначалось для простых записей о транзакциях, но теперь злоумышленники используют его в качестве скрытого канала связи. Это превращает общедоступную функцию блокчейна в скрытый канал для управления вредоносным ПО.
Децентрализованные служебные записки, подобные запискам Solana, являются общедоступными и постоянными, и ни одна отдельная сторона не может их удалить. Кроме того, злоумышленники могут обновлять инструкции, не изменяя вредоносное ПО.
Данная кампания считается новой версией вредоносной программы GlassWorm, которая активна как минимум с 2022 года.
Меморандумы Solana выступают в качестве средства разрешения тайников
По данным исследователей безопасности из Aikido, атака состоит из трех этапов или трех полезных нагрузок. Первый этап/полезная нагрузка — это всего лишь точка входа. Он начинается, когда разработчик устанавливает вредоносный пакет из репозиториев с открытым исходным кодом, таких как npm, PyPI, GitHub или OpenVSX.
Затем вредоносная программа проверяет, является ли системная локаль русской, и если да, то не продолжает атаку. Это связано с тем, что злоумышленники, скорее всего, находятся в России и не хотят быть пойманными властями. После установки вредоносная программа использует блокчейн Solana для получения IP-адреса командно-контрольного (C2) сервера злоумышленника. Она ищет в Solana конкретную транзакцию, содержащую IP-адрес C2-сервера в поле memo.
Затем вредоносная программа подключается к серверу управления и запускает второй этап атаки. На этом этапе вредоносная программа ищет криптографические данные, такие как сид-фразы, закрытые ключи и даже скриншоты кошельков. Она нацелена на кошельки, созданные с помощью расширений для браузеров, такие как MetaMask, Phantom, Coinbase, Exodus, Binance, Ronin, Keplr и другие.
Вредоносная программа также ищет данные браузера, такие как сеансы входа в систему, токены сеансов и доступ к облачным сервисам. Это означает, что она может получить доступ к централизованным учетным записям Exchange, npm, GitHub и AWS.
После сбора данных вредоносная программа сжимает их в ZIP-файл и отправляет на сервер злоумышленника.
Аппаратные кошельки становятся мишенью фишинговых атак
Последняя полезная нагрузка разделяется на две части. Первая часть — это исполняемый файл .NET, который ищет аппаратные кошельки, такие как Ledger и Trezor. Если он находит такой кошелек, то отображает поддельное сообщение об ошибке, которое обманом заставляет пользователя ввести свою фразу восстановления.
Вторая часть — это основанный на WebSocket JavaScript-троян (троян удаленного доступа), который крадет данные браузера. Он также устанавливает поддельное расширение Chrome, которое отслеживает определенные сайты, такие как биржи, и крадет файлы cookie в режиме реального времени. Он загружается через событие Google Календаря в качестве передатчика данных. Такой подход позволяет злоумышленнику скрыть реальный сервер, обойти фильтры безопасности и действует как косвенный уровень доставки.
В отличие от второго этапа, где вредоносное ПО только крадет данные браузера, этот RAT (Remote Active Directory) имеет возможность управления в режиме реального времени. Он остается активным и отслеживает браузер. Он перехватывает новые cookie-файлы, tracактивные сессии, такие как авторизованные учетные записи Exchange, регистрирует нажатия клавиш и делает снимки экрана. Более того, он позволяет злоумышленнику выполнять команды на компьютере жертвы.
Удалить GlassWorm сложно. Вредоносная программа может повторно загрузить себя и сохраниться после перезагрузки. Она также использует резервные методы, такие как поиск в распределенной хеш-таблице (DHT) и меморандумы Solana , для определения управляющего сервера.
Поскольку центрального сервера нет, и данные передаются между множеством компьютеров, защитникам становится сложно заблокировать атаку на сетевом уровне.
Если вы это читаете, значит, вы уже впереди. Оставайтесь на шаг впереди, подписавшись на нашу рассылку.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.
Ранда Мозес
Ранда Мозес — редактор и репортер Cryptopolitan освещающая темы технологий, искусственного интеллекта, робототехники, криптовалют, мошенничества и взломов. Она работает в криптопространстве с 2017 года. Ранее работала в Forward Protocol, AmaZix и Cryptosomniac. Ранда имеет степень в области электротехники иtron, полученную в Университете Брэдфорда.
КУРС
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)