hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
18 grudnia 2024

Kradnie loginy i kryptowaluty – CoinLurker

#analiza #malware

Po cieszącym się wyjątkowym zainteresowaniem ubiegłotygodniowym wpisie o Binance mamy dla Was kolejną analizę związaną z kryptowalutowym oszustwem. Tym razem dotyczy ona jednak nie wektora ataku, lecz schematu działania wyspecjalizowanego malware’u CoinLurker.

CoinLurker to jedna z bardziej zaawansowanych odmian złośliwego oprogramowania typu stealer. Tego typu malware jest tworzony po kątem kradzieży danych użytkowników, zwłaszcza informacji/poświadczeń logowania związanych z kryptowalutami. Został napisany w języku Go i korzysta z zaawansowanych technik obfuskacji kodu, które znacząco utrudniają jego wykrycie przez narzędzia bezpieczeństwa i analityków.

Głównym celem ataku są użytkownicy kryptowalut. CoinLurker wykrada dane z katalogów i aplikacji związanych z kryptowalutami, takimi jak Bitcoin, Ethereum, Ledger Live czy Exodus. Dodatkowo zbiera dane z komunikatorów (Telegram, Discord) oraz narzędzi do zarządzania plikami, jak m.in. FileZilla. 

Jak rozprzestrzenia się CoinLurker?

CoinLurker wykorzystuje różne, często bardzo wyrafinowane metody dystrybucji. Wśród nich znajdziemy m.in.:

  • Fałszywe powiadomienia o aktualizacjach. Na złośliwych stronach internetowych pojawiają się komunikaty, namawiające użytkowników do pobrania „niezbędnych” aktualizacji oprogramowania. W rzeczywistości pliki te zawierają malware. 
  • Reklamy prowadzące na zainfekowane strony (malvertising). Nawet legalne strony bywają wykorzystywane do wyświetlania zainfekowanych reklam. Te przekierowują użytkowników na fałszywe witryny zawierające CoinLurkera.
  • Phishing w e-mailach. Cyberprzestępcy wysyłają e-maile z linkami prowadzącymi na fałszywe strony. Tam użytkownicy są zmuszani do pobierania rzekomych aktualizacji lub przechodzenia przez fikcyjne procesy weryfikacyjne, takie jak CAPTCHA. 
  • Fałszywe monity CAPTCHA: Mechanizmy przypominające autentyczne zabezpieczenia CAPTCHA służą w rzeczywistości do instalowania CoinLurkera na urządzeniach ofiar.

Gdy ofiara złapie się na socjotechniczną sztuczkę i zainstaluje złośliwy kod, CoinLurker korzysta z właściwości, umożliwiających mu ukrycie swojej obecności. Są to:

  • Wykorzystanie Microsoft Edge Webview2. Ten komponent jest używany do prezentowania fałszywych okien aktualizacji przeglądarek. Pozwala złośliwej sekcji kodu skutecznie uniknąć analizy w środowiskach testowych, takich jak sandboxy. 
  • EtherHiding. W tej technice malware korzysta z infrastruktury Web3 do ukrywania złośliwego ładunku. Pozwala to znacząco utrudnić jego wykrycie standardowym narzędziom bezpieczeństwa. 
  •  Wstrzykiwanie kodu do procesów systemowych. CoinLurker wprowadza swój kod do procesów takich jak „msedge.exe” dzięki czemu omija systemy monitorujące zachowanie aplikacji.

Jak się zabezpieczyć?

Aby zminimalizować ryzyko infekcji CoinLurkerem, warto wdrożyć kilka prostych zasad:  

  • Regularnie aktualizuj oprogramowanie antywirusowe. Wybierz narzędzia, które oferują wykrywanie zaawansowanych zagrożeń. Zawsze dbaj o ich aktualność. 
  • Aktualizuj oprogramowania wyłącznie z pewnych źródeł. Jeśli otrzymasz komunikat o konieczności aktualizacji, zweryfikuj jego autentyczność bezpośrednio na oficjalnej stronie producenta oprogramowania.
  • Podnoś swoją świadomość w zakresie cyberbezpieczeństwa. Szkolenia z rozpoznawania phishingu i fałszywych komunikatów o aktualizacjach pomogą Ci uniknąć wielu zagrożeń.
  • Monitoruj ruch w swojej sieci. Stosuj narzędzia monitorujące aktywność w sieci i rozważ wprowadzenie filtrów DNS, które blokują znane złośliwe domeny.
  • Korzystaj z zaawansowanych narzędzi bezpieczeństwa. Systemy zapobiegania wyciekom danych (DLP) mogą pomóc w wykryciu i zablokowaniu prób nieautoryzowanego transferu informacji.

Przeanalizowaliśmy kilkadziesiąt domen do których odwoływały się serwery drop zone. Wszystkie z nich podszywają się pod znane legalne aplikacje. A te dalej – jak okazało się po głębszej analizie domen/adresów IP – pokrywają się z kampaniami malvertisingowymi, skierowanymi do profesjonalistów z branży projektowania graficznego.

Atakujący wykorzystują reklamy Google Search do dystrybucji złośliwego oprogramowania, podszywając się pod legalne strony oferujące oprogramowanie CAD. Kampania, aktywna od co najmniej 13 listopada 2024 roku, wykorzystuje adresy IP 185.11.61[.]243 i 185.147.124[.]110 do hostowania złośliwych domen, takich jak frecadsolutions[.]com i onshape3d[.]org. 

Domeny te często korzystają z zaufanych platform, takich jak Bitbucket, do hostowania złośliwych plików, co zwiększa ryzyko dla użytkowników. Mimo trwających zagrożeń reakcja ze strony m.in. Google jest niewystarczająca. Podkreśla to potrzebę skuteczniejszych środków przeciwdziałania malvertisingowi.

Oczywiście wszystkie IoC związane z opisywanymi malware są zablokowane na CyberTarczy.

Więcej informacji:
https://blog.morphisec.com/coinlurker-the-stealer-powering-the-next-generation-of-fake-updates 
https://cybersecuritynews.com/hackers-exploiting-google-search-ads/ 
https://thehackernews.com/2024/12/hackers-exploit-webview2-to-deploy.html

Indicators of Compromise (IoC)

Serwery C&C: 
paveldurov[.]sbs  
zovik[.]info
analfucker[.]lol

Adresy dropzone:
185.11.61.243 
185.147.124.110 

Iwo Graj

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

20 grudnia 2024
Prometheus – setki tysięcy niezabezpieczonych serwerów dostępne dla każdego
Dowiedz się więcej
13 grudnia 2024
Oszustwo “na Binance” – szczegółowa analiza 
Dowiedz się więcej
10 grudnia 2024
Cyber Threat Intelligence – krajobraz zagrożeń (09/12/24)
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas