Bitcoin занепав з 24 вересня, коли ціна впала більш ніж на 10%, що деякі називають крахом. Погані новини для Bitcoin тривали протягом тижня, коли ціна продовжувала коливатися близько $ 8 тис. і нижче. Тепер покупці криптовалюти отримали попередження про ще одну загрозу їхнім інвестиціям – ПЗ, яке краде гаманці.
Що таке Masad Clipper & Stealer?
Дослідники безпеки з Juniper Threat Labs повідомляють, що шпигунське ПЗ, що поставляється трояном і використовує зашифровану платформу обміну повідомленнями Telegram для ексфільтраціі даних, призначається для гаманців криптовалюти.
Готове шкідливе ПЗ, позначене як «Masad Clipper & Stealer», наразі поширюється на форумах чорного ринку в інтернеті. Шкідлива програма запускається безкоштовно, але ціни на версії з максимальною функціональністю досягають $ 85. Дослідники Juniper виявили групу Telegram, що налічує понад 300 осіб, де потенційні покупці можуть дізнатися більше і, як вважається, також отримати технічну підтримку. Служба обміну повідомленнями Telegram, яка налічує понад 200 млн користувачів по всьому світу, також використовується в ролі каналу управління і контролю (C2) за шкідливими програмами, щоб забезпечити анонімність зловмисників. На сьогоднішній день дослідники Juniper виявили 338 різних ботів Telegram C2.
Що таке вектор інфекції Masad?
Дослідники Juniper стверджують, що основним шляхом зараження, використовуваним зловмисниками, було видати себе за легітимний додаток або іноді зв’язати файли шкідливого ПЗ в сторонні інструменти, щоб обдурити необережну жертву. Ці завантаження рекламуються і пов’язані з одними форумами, сторонніми сайтами завантажень і сайтами обміну файлами. Лише деякі з програм та інструментів, які, як відомо, в даний час маскуються під Masad, – Fortnite, підроблені оновлення для смартфонів Samsung Galaxy і додаток для очищення системи CCleaner.
Як Masad вкрав ваш Bitcoin?
В основі шкідливого ПЗ лежить проста шпигунська програма. Вона шукає конфіденційні дані через веб-браузер, включаючи дані кредитної картки, паролі, поля автозаповнення, файли cookie, встановлене програмне забезпечення і процеси, файли робочого столу і системну інформацію. А також і гаманці криптовалюти.
Однією з функцій шкідливого ПЗ Masad є опитування системного буфера обміну в пошуках даних, відповідних конфігурації певних гаманців криптовалюти. Якщо збіг виявлено, то Masad замінює ваш гаманець на той, що належить зловмиснику, який закодований в двійковий файл шкідливого ПЗ. Як і Bitcoin, «вірус» шукатиме практично будь-яку іншу криптовалюту.
Зниження ризику крадіжки Bitcoin гаманця
Не варто завантажувати програмне забезпечення, інструменти або послуги через що-небудь крім офіційного магазину додатків або сайту виробника. Щоб захистити свою організацію, переконайтеся, що у вас є брандмауер наступного покоління (NGFW) з розширеним захистом від загроз.