Введение в вредоносное ПО для кражи криптовалюты

 

Microsoft недавно обнаружила сложный штамм вредоносного ПО для кражи криптовалюты, представляющий значительную угрозу для держателей цифровых активов. Это вредоносное ПО, распространяемое в основном через зараженные USB-накопители, использует как традиционные, так и современные методы для вывода конфиденциальной информации из скомпрометированных систем. Угроза, отслеживаемая Microsoft под названием STONEDRIVE, сочетает старомодный подход распространения через USB с современными методами уклонения, эффективно нацеливаясь на среды, где хранятся цифровые активы.

 

Как распространяется STONEDRIVE

 

Обнаружение, о котором сообщает Slashdot, проливает свет на методы распространения, используемые STONEDRIVE. Напоминая классическую модель распространения USB-червей, популяризированную угрозами, такими как Conficker более десяти лет назад, STONEDRIVE использует зараженные USB-накопители в качестве основного вектора. Этот метод позволяет вредоносному ПО распространяться, копируя себя на любые съемные носители, вставленные в зараженную машину. Следовательно, когда USB-накопитель подключается к другому компьютеру, файл autorun.inf и связанные с ним исполняемые файлы автоматически запускают заражение, если функции автозапуска включены или если пользователи взаимодействуют с замаскированными папками.

 

Поведение вредоносного ПО и возможности нацеливания

 

После успешного проникновения STONEDRIVE демонстрирует характеристики, общие для многих информационных воров. Оно сканирует скомпрометированные системы на наличие файлов криптовалютных кошельков, данных расширений браузера и сохраненных учетных данных. Вредоносное ПО специально нацелено на популярные приложения для кошельков, такие как Electrum, Exodus и MetaMask. Кроме того, оно захватывает куки браузера, сохраненные пароли и данные автозаполнения, которые могут содержать сид-фразы или приватные ключи. Собранная информация затем выводится через скрытые сервисы Tor, что создает значительные трудности в атрибуции и усилиях по устранению.

 

Методы уклонения и обфускация

 

Чтобы избежать обнаружения и продлить срок своей работы, STONEDRIVE использует несколько уровней обфускации. Начальный загрузчик вредоносного ПО использует поэтапный подход с зашифрованными полезными нагрузками, каждая из которых декодирует следующую только после тщательной проверки на наличие сред анализа. Антианализные процедуры обеспечивают, что вредоносное ПО остается бездействующим или самоудаляется при обнаружении виртуальных машин или инструментов песочницы. Этот акцент на уклонении объясняет продолжительную работу кампании до того, как она попала под пристальное внимание команд безопасности.

 

Распространение через USB в изолированных средах

 

Выбор распространения через USB является преднамеренной стратегией злоумышленников для нацеливания на изолированные системы или сети с жесткими интернет-контролями. Такие среды часто встречаются в корпоративных условиях, исследовательских учреждениях и некоторых фирмах по торговле криптовалютой, где изолированные машины используются для подписания транзакций. Заражая USB-накопители, вредоносное ПО преодолевает разрыв между изолированными сетями и системами, подключенными к интернету, куда затем отправляются выведенные данные через Tor.

 

Преимущества использования сети Tor

 

Использование сети Tor предоставляет множество преимуществ для операторов этой кампании. Луковая маршрутизация Tor эффективно скрывает истинное местоположение серверов командования и управления, одновременно шифруя трафик таким образом, что это затрудняет стандартные инструменты проверки безопасности. Microsoft отметила, что STONEDRIVE использует жестко закодированные адреса Tor, обходя разрешения DNS, которые в противном случае могли бы вызвать тревогу. Вредоносное ПО общается только в заранее определенные интервалы, минимизируя свой сетевой след и усложняя поведенческое обнаружение.

 

Собранные данные и потенциальный сбор разведывательной информации

 

Анализ выведенных данных показал использование структурированных JSON-полезных нагрузок, содержащих адреса кошельков, приватные ключи и скриншоты, захваченные с скомпрометированных систем. Интересно, что вредоносное ПО обладает возможностями активировать веб-камеру и микрофон жертвы при определенных условиях, что указывает на потенциальный интерес к сбору разведывательной информации, выходящей за рамки чисто финансовых мотивов. Некоторые образцы дополнительно включают модули для кейлоггинга и мониторинга буфера обмена, с акцентом на строки адресов криптовалюты для осуществления техник захвата буфера обмена.

 

Меры по смягчению и предотвращению

 

Microsoft координировала свои действия с правоохранительными органами и распространила индикаторы компрометации через свой Центр разведки угроз. Организациям рекомендуется отключить функции автозапуска на системах Windows и внедрить политики, предотвращающие автоматическое выполнение файлов с USB-накопителей. Регулярное обучение сотрудников о рисках, связанных с неизвестными USB-устройствами, имеет решающее значение, особенно в секторах, работающих с ценными цифровыми активами.

 

Потенциальные риски для цепочки поставок и отраслевое воздействие

 

Угроза, исходящая от STONEDRIVE, выходит за рамки индивидуальных инфекций, вызывая опасения по поводу рисков для цепочки поставок в секторе криптовалюты. Разработчики, получающие зараженные USB-устройства с конференций или от партнеров, рискуют непреднамеренно распространить вредоносное ПО в средах сборки. Если ключи подписи или сид-фразы будут скомпрометированы, финансовые последствия могут быть серьезными. Сообщается, что многие блокчейн-проекты пересмотрели свои внутренние политики использования USB после раскрытия информации Microsoft.

 

Будущий мониторинг и готовность

 

Пока исследователи продолжают следить за новыми вариантами, организации должны оставаться бдительными. Модульный дизайн STONEDRIVE позволяет легко обновлять его, позволяя операторам улучшать свой инструментарий без значительного переосмысления бэкэнда. Будущие версии могут включать возможности программ-вымогателей или интегрироваться в более крупные ботнеты для усиления распространения. Организациям следует рассмотреть возможность внедрения строгих политик контроля USB, белых списков приложений и сегментации сети для смягчения потенциального ущерба.

 

Заключение: Звонок для пробуждения цифровой экономики

 

Выводы Microsoft подчеркивают продолжающиеся проблемы балансирования удобства и безопасности в управлении криптовалютой. Несмотря на эволюцию поверхностей атак, старые векторы, такие как USB, остаются эффективными путями для злоумышленников. Сочетание распространения через USB с анонимными сетевыми протоколами, такими как Tor, представляет собой грозный профиль угрозы. Команды безопасности должны обновлять правила обнаружения и обучать пользователей о сохраняющихся рисках USB, в то время как пользователи криптовалюты должны принимать усиленные меры безопасности для защиты своих цифровых активов.

 

Кампания STONEDRIVE служит ярким напоминанием о том, что злоумышленники умеют изучать исторические успехи вредоносного ПО и адаптировать их для современных целей. С увеличением внедрения блокчейн-технологий в традиционные финансовые и цепочки поставок, стимул для сложных операций по краже продолжает расти. Сотрудничество между поставщиками безопасности и правоохранительными органами, в сочетании с осведомленностью пользователей, будет иметь решающее значение для разрушения этих кампаний до того, как они нанесут ущерб развивающейся цифровой экономике.