30.04.2021

От взломов до пустых кошельков – как популярные взломы приводят к краже цифровой валюты и данных

Bitdefender > Новости > От взломов до пустых кошельков – как популярные взломы приводят к краже цифровой валюты и данных

Уже около трех лет хакеры крадут криптовалюту из кошельков Monero, используя мощное вредоносное ПО, которое доставляется путем взлома программного обеспечения для популярных приложений.

Исправления существуют с момента появления коммерческого программного обеспечения. Эти небольшие приложения, простые в использовании и широко доступны на специализированных веб-сайтах для обмена. Они позволяют людям обходить коммерческие средства защиты в популярном программном обеспечении и использовать приложения, не платя за них. Однако, помимо юридических последствий несанкционированного использования программного обеспечения, существуют серьезные риски кибербезопасности.

Аналитики Bitdefender недавно обнаружили серию атак, в которых используются офисные инструменты и взломы программного обеспечения для редактирования изображений для взлома компьютеров, взлома кошельков с криптовалютой и кражи информации через сеть TOR.

  1. После выполнения крэк удаляет экземпляр ncat.exe (законный инструмент для отправки необработанных данных по сети), а также прокси TOR.
  2. Файлы прокси Netcat и TOR помещаются на диск как `% syswow64% \ nap.exe` или`% syswow64% \ ndc.exe` для первого и как `% syswow64 \ tarsrv.exe` для последнего.
  3. Пакетный файл помещается в папку `% syswow64% \ chknap.bat` (для nap.exe) и`% syswow64% \ nddcf.cmd` (для ndc.exe), который содержит командную строку для компонента Ncat, который переключает порты с 8000 по 9000 в домене .onion, как показано на снимке экрана ниже.

Инструменты работают вместе, чтобы создать мощный бэкдор, который обменивается данными через TOR со своим центром управления и контроля: двоичный файл ncat использует порт прослушивания прокси-сервера TOR (`–proxy 127.0.0.1: 9075`) и использует стандартный` -exec ‘ Параметр, который позволяет отправлять весь ввод от клиента в приложение, а ответы – обратно клиенту через сокет (обратное поведение оболочки).

Взлом создает механизмы сохранения для прокси-файла TOR и двоичного файла Ncat на машине со службой и запланированной задачей, которая запускается каждые 45 минут соответственно.

Наше расследование показывает, что, скорее всего, бэкдор используется в интерактивном режиме человеком-оператором, а не отправкой автоматических запросов жертвам. Вот некоторые из наблюдаемых нами действий:

  • Эксфильтрация файлов. Ncat может получать локальные файлы для отправки через TOR в центры управления и контроля.
  • Выполнение BitTorrent-клиента. Мы полагаем, что злоумышленники используют клиентов BitTorrent для кражи данных.
  • Отключение брандмауэра при подготовке к краже данных.
  • Кража данных профиля браузера Firefox (история, учетные данные и файлы cookie сеанса). Перед захватом злоумышленники архивируют папку профиля с помощью 7zip, чтобы создать один файл, содержащий все.
  • Кража кошелька Monero через законный клиент CLI monero-wallet-cli.exe.

Этот список действий не является исчерпывающим, поскольку злоумышленники полностью контролируют систему и могут адаптировать кампании в соответствии со своими текущими интересами.

Индикаторы компромисса

Пути к файлам:

  • % SYSWOW64% \ ncat.exe
  • % SYSWOW64% \ ndc.exe
  • % SYSWOW64% \ chknap.bat
  • % SYSWOW64% \ nddcf.cmd
  • % SYSWOW64% \ tarsrv.exe
  • % SYSTEM32% \ ncat.exe
  • % SYSTEM32% \ ndc.exe
  • % SYSTEM32% \ tarsrv.exe
  • % SYSTEM32% \ nddcf.cmd
  • % SYSTEM32% \ tarsrv.exe

Файловые хэши, Ncat:

  • 1859a996f978bf73798f337d4b6c7029d14c1cc272e4b8ef522497e61554041c
  • b65a7bbc6448e871c2d68d3bfb91760869877863ce1250b142e180a373fed891
  • 930d414567d27eec1dbb59616dbdce0aa9cdece0135666dafa83bb9c260496c4
  • f29aecc2d0bca9fe874e2687adc4d0b0d21c8e7371cff291531dbbc6997abf5c

Пакетный файл, выполняющий Ncat:

  • d93fab085d15448e6540cde779189e753a45f5a13daea5dfea32d736091cdefd
  • 782bac6a0d5d913ec5b20414fe226219c1e21124de2aaa5665375f712f3b6a51
  • 18a432feca1f2e66986e19006a301cacb8cd2f1d89b340d72aac4f79eff70937
  • 4f959c4b69af3604002f292aff87e3a603d45cee67f432d3bb34627c044d9afc
  • e02c70044e45c840aec446f4e9a7bc8708c4a37da534a1fecc75ad0937b94526

Прокси-сервер TOR:

  • 97a9b6db3aee2308af341413f2671c86079c8d010e0b7f4c2324004553bc17a8
  • ef09d109eb6fe8d999247bf2a175b4642d6412ebf289957376761ab8bb63dbc5
  • f08d24a42c5befbf323507ca90b76a8d0152c5998bcfe86e34941c4e731748ae
  • e0569c36ad6c8f08cc0b64f25a10228cdf318b7a970ef0c203e1f3e69289ffc4
  • 964c75385ec8389df2e0a4dda80391029828419986d052ba442d33048eb45e72
  • 24399c64b4382100bee197b0753fe5ca4c01b7f773c61e7247d6b4acf82a98fd

Домены onion:

  • onion
  • onion
  • onion
  • onion
  • onion
  • onion
  • onion
  • onion
  • onion
Новости
12.05.2021
WhatsApp: спамеры закидывают почты пользователей фейковыми предложениями «для взрослых»
01.05.2021
Недостатки Apple AirDrop позволяют хакерам захватить номера телефонов и электронную почту пользователей
30.04.2021
От взломов до пустых кошельков – как популярные взломы приводят к краже цифровой валюты и данных