Анализ угроз

Как украсть миллионы в криптовалюте? Нажмите «Копировать» — «Вставить»

Christopher Budd 14 окт 2021

Рассказываем о простой вредоносной программе, которая обогатила ее авторов.

Криптовалюта становится все популярнее и привлекает внимание не только инвесторов, но и киберпреступников. Последние часто используют ее для получения выкупа после шантажа или атак программ-вымогателей.  

Еще один способ нелегального заработка — тайный майнинг криптовалюты. Например, обнаруженный нами в этом году Crackonosh, который тайно майнил криптовалюту на зараженных устройствах. В общей сложности было поражено около 225 тысяч компьютеров и ноутбуков. За все время автор Crackonosh получил более 9000 монет криптовалюты Monero, что приблизительно равняется 2 млн долларов. Майнер распространялся через пиратские копии популярных компьютерных игр и был способен обходить защиту Windows. Вирус получил широкое распространение в США, Индии, Бразилии, Польше и на Филиппинах. 

Существует и более новый вектор атак — кража цифровых активов.

Наши эксперты из Лаборатории по исследованию угроз рассмотрели вредоносную программу MyKings, которая использует простой прием, перехватывая и подменяя скопированную информацию на зараженных устройствах — и отправляя криптовалютные платежи жертвы на кошельки злоумышленников.

На криптокошельках злоумышленников уже хранится не менее 24 миллионов долларов США (около 1,72 миллиарда рублей) в Bitcoin, Ethereum и Dogecoin. Неизвестно, все ли средства украдены именно благодаря MyKings, но, по крайней мере, часть этой суммы точно была получена с помощью него.

Исследователи Avast обнаружили более 6 700 уникальных образцов MyKings. С начала 2020 года Avast защитил от этого вредоносного ПО более 144,000 своих пользователей. Большинство атак пришлось на Россию, Индию и Пакистан.

Принцип работы MyKings очень прост. После своей установки программа все время отслеживает, что жертва копирует в буфер обмена. Найдя в буфере адрес криптовалютного кошелька пользователя, он заменяет его адресом своего кошелька. После этого, когда жертва вставляет (как она думает), верный адрес своего криптокошелька, на самом деле она вставляет адрес кошелька киберпреступника. Таким образом жертва сама отправляет криптовалюту злоумышленникам.

Это простой, но очень эффективный прием: злоумышленники рассчитывают на то, что пользователи не заметят, что длинный и сложный номер счета изменился.

Есть несколько простых способов защитить себя и ваши цифровые активы.

1. Используйте защитные решения на любом устройстве, которое вы используете для работы с цифровыми активами: они помогут не допустить проникновения в вашу систему вредоносных программ, подобных MyKings.

2. Сверяйте адрес, который скопировали и на который хотите сделать перевод с тем, что вы вставили в строку получателя. А еще лучше вводить адрес вручную.

MyKings хорошо демонстрирует, что даже с помощью очень простых способов киберпреступники могут украсть криптовалюту. Но, к счастью, есть столь же простые и эффективные способы защиты от них.

Подробный анализ MyKings вы можете прочитать в статье наших исследователей. 

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter