експлозија биткоина са калкулатором
Слика: Приме91/Адобе Стоцк

Недавно се појавио нови лопов, који су програмери назвали ПенниВисе. изложена од Цибле Ресеарцх Лабс. Истраживачи су приметили неколико узорака штеточина у дивљини, што је представљало активну претњу. Претња се фокусира на крађу осетљивих података претраживача и новчаника криптовалута, а долази као Пентагон изазвала забринутост о блокчејну.

Необичан начин ширења: Јутјуб

Злонамерни софтвер се претвара да је бесплатна апликација за рударење биткоина која се рекламира и може се преузети путем Иоутубе видеа (Слика А).

Слика А

Слика: Цибле. Иоутубе видео о дистрибуцији злонамерног софтвера ПенниВисе.

Иако овај снимак екрана показује веома ограничен број посетилаца, Цибле је на Јутјубу приметио више од 80 видео снимака масовне инфекције, који су сви хостовани на његовом ИоуТубе каналу за претњу.

Док корисници гледају видео, преварени су да преузму архивску датотеку заштићену лозинком која садржи рекламирани софтвер за рударење биткоина, али је заправо злонамерни софтвер ПенниВисе.

ВИДИ: Кршење лозинке: Зашто се поп култура и лозинке не мешају (бесплатан ПДФ) (ТецхРепублиц)

Коришћење архиве заштићене лозинком је позната метода друштвеног инжењеринга за присиљавање на поверење, јер корисници имају тенденцију да буду мање сумњичави када је садржај заштићен лозинком.

У даљем покушају да изгледа легитимније, актер претње додаје везу на ВирусТотал, која приказује антивирусне резултате за чисту датотеку која није малвер. Глумац претње такође помиње да ће корисник можда морати да онемогући свој антивирус како би спречио преузимање датотеке, али је потпуно безбедно (Слика Б).

Слика Б

Слика: Цибле. Везе до злонамерне датотеке се појављују заједно са неповезаном везом ВирусТотал и напоменом да искључите антивирус.

Архивска датотека садржи инсталациони програм ПенниВисе, који он извршава пре него што малвер почне да комуницира са својим командним и контролним сервером.

Карактеристике злонамерног софтвера ПенниВисе

Злонамерни софтвер је сакривен непознатим алатом за шифровање и користи вишенитну обраду за ефикаснију крађу података.

Када се покрене, малвер добија путању до неколико претраживача на које циља:

  • Више од 30 претраживача заснованих на Цхроме-у
  • Више од 5 претраживача заснованих на Мозилла-и
  • Опера
  • Мицрософт ивица

Малвер затим добија корисничко име, име машине, системски језик и временску зону од оперативног система жртве. Временска зона је претворена у руско стандардно време.

Још једна географска карактеристика се јавља када малвер покуша да идентификује земљу жртве. Потпуно зауставља све операције ако је земља једна од следећих:

  • Русија
  • Украјина
  • Белорусија
  • Казахстан

Ово може указивати на то да актер претње жели да избегне спровођење закона у овим земљама.

Поред тога, злонамерни софтвер преузима име графичког драјвера и процесора и све чува у скривеној фасцикли у директоријуму АппДата\Лоцал.

Када се то уради, злонамерни софтвер користи трикове за анализу и откривање како би покушао да утврди у каквом окружењу се налазите. Ако ради на виртуелној машини, престаће.

Додатне провере се врше да би се утврдило који антивирус или сандбок је покренут, а малвер проверава унапред дефинисану листу назива процеса повезаних са алатима за анализу као што су виресхарк, фиддлер и тцпвиев.

Како ПенниВисе краде податке

Након што малвер заврши све провере, почиње да ради са више нити ради ефикасности. Креира се више од 10 нити, од којих је свака одговорна за другу операцију.

Малвер краде само РТФ, ДОЦ, ДОЦКС, ТКСТ и ЈСОН датотеке мање од 20 кб. Датотеке се смештају у фасциклу „граббер“ инфраструктуре скривених фасцикли коју је креирао малвер.

Малвер такође наводи сав софтвер инсталиран на систему.

Сви познати подаци прегледача се краду када малвер открије познати претраживач, укључујући акредитиве за пријаву, колачиће, кључеве за шифровање и главне лозинке.

Они такође краду Дисцорд токене и Телеграм сесије и праве снимак екрана корисника.

Регистар се затим испитује током претраге новчаници за криптовалуте као што су Литецоин, Дасх и Битцоин пре циљања на хладне новчанике као што су Зцасх, Армори, Битецоин, Јакк, Екодус, Етхереум, Елецтрум, Атомиц Валлет, Гуарда и Цоиноми. Датотеке новчаника се краду са унапред дефинисане листе фасцикли. На мети су и проширења за криптовалуте у прегледачима заснованим на Цхроме-у.

Када се комплетно прикупљање података заврши, они се компримују и шаљу на сервер који контролишу нападачи пре него што се бришу са рачунара.

Како се заштитити од ове претње

Никада не преузимајте софтвер из непроверених или непоузданих извора. Софтвер увек треба преузимати са легитимних веб локација након пажљиве провере корисника.

Корисници никада не би требало да онемогућавају свој антивирус да би инсталирали нову апликацију. Откривање малвера од стране антивируса требало би да буде озбиљно упозорење за корисника. Сваки антивирусни или безбедносни производ који ради на вашем рачунару увек треба да се ажурира, заједно са свим осталим софтвером и самим оперативним системом.

Треба избегавати чување акредитива у претраживачу. Уместо тога, користите менаџер лозинки са различитом лозинком за сваку веб локацију или услугу на мрежи. Где је могуће, вишефакторска аутентикација треба да се користи тако да, ако сајбер криминалац има важеће акредитиве, не може да их користи за коришћење било које онлајн услуге.

Откривање: Радим за Тренд Мицро, али мишљења изражена у овом чланку су моја.

Leave a Reply

Your email address will not be published.