Istraživači bezbjednosti u kompaniji Kaspersky nedavno su otkrili kampanju malicioznog softvera koja cilja novčanike kriptovaluta.
Raspravljajući o nalazima u danas objavljenom savjetodavnom listu, kompanija je rekla da su napadi prvi put uočeni u septembru 2022. godine i da su se oslanjali na maliciozni softver koji je dio sadržaja međuspremnika zamijenio adresama novčanika kriptovaluta.
„Uprkos tome što je napad u osnovi jednostavan, krije više opasnosti nego što se čini. I to ne samo zato što stvara nepovratne transfere novca, već zato što je tako pasivan i teško ga je otkriti normalnom korisniku” stoji u savjetu.
Kaspersky je dodao da je ovo posebno tačno kada se uzme u obzir da se crvi i virusi ne moraju nužno povezati sa kontrolnim serverima napadača, ali često generišu vidljivu mrežnu aktivnost ili povećavaju korištenje CPU-a ili RAM-a.
“Kao i šifriranje ransomware-a. Clipboard injektori, naprotiv, mogu biti tihi godinama, ne pokazuju nikakvu mrežnu aktivnost ili bilo kakve druge znakove prisutnosti sve do dana kada zamijene adresu kripto novčanika” objašnjavaju iz kompanije.
Kaspersky je dodao da je kampanja malicioznog softvera koja se oslanja na ovu tehniku uočena zloupotrebom instalatera Tor Browser-a.
“Ovo povezujemo sa zabranom web stranice Tor projekta u Rusiji krajem 2021. godine, o čemu je izvijestio sam Tor Project. Autori malicioznog softvera su čuli poziv i odgovorili kreiranjem trojanizovanih paketa Tor Browser-a i distribucijom među korisnici koji govore ruski.”
Što se tiče payload-a uočenog tokom maliciozne kampanje, Kaspersky je objasnio da se radi o pasivnom malveru za ubrizgavanje klipborda bez komunikacije.
“Maliciozni softver se integriše u lanac pregledača Windows međuspremnika i prima obavještenje svaki put kada se podaci međuspremnika promijene” piše u savjetu. „Ako međuspremnik sadrži tekst, on skenira sadržaj sa skupom ugrađenih regularnih izraza. Ako pronađe podudaranje, zamjenjuje se jednom nasumično odabranom adresom sa hardcoded liste.”
Klipbord-injektor je uglavnom ciljao sisteme u Rusiji i istočnoj Evropi, ali i u SAD, Nemačkoj i Kini, između ostalih.
Da bi ublažio uticaj ove pretnje, Kaspersky je savetovao zaštitnike sistema da preuzimaju softver samo sa pouzdanih izvora.
“Greška koju su vjerovatno napravile sve žrtve ovog malicioznog softvera bila je preuzimanje i pokretanje Tor Browser-a sa izvora treće strane” objasnila je kompanija. “Instalacijski programi koji dolaze iz službenog Tor projekta bili su digitalno potpisani i nisu sadržavali nikakve znakove takvog malicioznog softvera.”
Maliciozni programi za instalaciju Tor Browser-a takođe su se širili prošle godine putem video snimka s objašnjenjima o Darknet-u na YouTube-u.
Izvor: Infosecurity Magazine