Už v prosinci 2022 se objevily zprávy o dvou škodlivých malwarech s názvem MortalKombat a Laplas Clipper, které aktivně prohledávají internet a připravují neopatrné investory o jejich kryptoměny. Stále se nedaří vyhledat původce malwaru ani aktivity softwaru zastavit.
Malware se zaměřuje na desktopové peněženky
Výzkumný tým společnosti Cisco Talos odhalil, že oba softwary putují po internetu už od prosince 2022.
Malwary se zaměřují na investory, kteří používají na svém zařízení desktopovou peněženku. Oběti těchto útoku se nacházejí převážně ve Spojených státech. Malware ale částečně útočí také na oběti ve Spojeném království, Turecku a na Filipínách. Podrobná mapa útoků od Cisco Talos je k nahlédnutí níže.
Tyto škodlivé programy se zaměřují na adresy, které si uživatel zkopíroval do schránky svého operačního systému. Běžně k tomu dochází ve chvíli, kdy uživatel zkopíruje něčí adresu, aby danému uživateli mohl poslat kryptoměny.
Software detekuje takto zkopírované adresy a nahrazuje je adresami peněženek útočníků.
Útočníci spoléhají na nepozornost uživatele, kterého nenapadne kontrolovat adresu, kterou vložil do políčka příjemce. Pokud si uživatel záměny adresy nevšimne, odešle všechny prostředky na peněženky útočníků. Vypadá to ale, že útočníci si své oběti nijak zvlášť nevybírají, protože cílemi útoků jsou jednotlivci a malé i velké společnosti.
Většího úspěchu se ale útočníci dočkají vždy už jednotlivců. Velké společnosti mají své kryptoměny většinou dobře zabezpečené a je třeba opravdu sofistikovaného útoku k jejich získání. Jako řada malwarů, i tento se dostane do počítače pouze tak, že jej uživatel sám spustí.
Spouštěč malwaru MortalKombat přichází jako příloha emailu. Útočník často využívá jméno platební služby CoinPayments.net a spoofuje emailovou adresu do podoby noreply[at]coinpayment[.]net. Oběť používající tuto službu tak nemůže poznat, že se jedná o podvodný mail.
Útoky přicházejí také z Polska
V první fázi se útočníci pokusí oslovit potencionální oběť phishingovým e-mailem, který odstartuje řetězec několika útoku.
Během těchto operací se do počítače dostane malware přes otevřenou přílohu a začnou se dít věci. Malware se nainstaluje, poté odstraní důkazy o své existenci a zakryje stopy, aby zkomplikoval analýzu případnému antimalwaru. Po otevření přílohy spustí uživatel na svém počítači .bat soubor, který stáhne ZIP soubor ze serveru útočníka do počítače oběti. Automaticky se rozbalí a krátkodobě zatíží počítač oběti.
Po instalaci všech potřebných souborů smaže malware všechna stažená data a v počítači oběti vyčkává.
Výzkumnému týmu Cisco Talos se podařilo identifikovat několik IP adres, ze kterých útočník stahuje malware.
Jednou z nich je také IP adresa serveru nacházejícího se v Polsku. Další server provozuje bota, který prohledává internet a hledá otevřené porty s číslem 3389. V posledním roce se uživatelé kryptoměn zřejmě naučili používat hardwarové peněženky a své prostředky ukládat bezpečně. Z grafu níže vychází, že
výnosy hackerů z těchto útoků klesly v roce 2022 o 40 % na 456,8 milionů dolarů. To může souviset také s tím, že oběti odmítají zaplatit útočníkům za získání kontroly nad svým počítačem a raději o svá data přijdou.
Desktopové a mobilní peněženky mají velkou nevýhodu v tom, že privátní klíče ukládají přímo v zařízení.
Pokud je toto zařízení napadeno, může útočník získat všechny potřebné přístupové údaje ke kryptoměnám oběti. Pro větší obnosy kryptoměn tedy důrazně doporučujeme používat hardwarové peněženky. Ty nikdy neposkytnou privátní klíče a nabízejí kontrolu transakce. Při odesílání kryptoměn, například z hardwarové peněženky Trezor, může uživatel zkontrolovat, zda adresa na displeji Trezoru odpovídá adrese, která je vložena do pole příjemce.
Uchovávání kryptoměn na hardwarové peněžence je stále nejbezpečnější způsob uchovávání kryptoměn.
[twitter-follow username="btctip_cz" scheme="dark"]
