СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
22.05.2025
#Dev#ИБ#Инфра

Атака MUT-9332: сложные методы взлома разработчиков Solidity

Атака MUT-9332: сложные методы взлома разработчиков Solidity

Источник: securitylabs.datadoghq.com

В последние месяцы специалисты в области кибербезопасности выявили масштабную и сложную кампанию, реализованную хакером с псевдонимом MUT-9332. Целью атаки стали разработчики, работающие с языком программирования Solidity — основным инструментом для создания смарт-контрактов в экосистеме Ethereum. Анализ вредоносной активности демонстрирует, насколько изощрёнными становятся методы атак и какие риски несут расширения для браузеров и среды разработки.

Механизм атаки: от PowerShell скриптов до вредоносных расширений

Основной вектор атаки начинается с выполнения скрипта PowerShell под названием a.txt. Его задача — загрузить в браузеры на базе Chromium вредоносное расширение extension.zip и изменить сочетания клавиш для сохранения, что обеспечивает автоматическое внедрение вредоносного кода. При этом a.txt содержит в себе дублирующую полезную нагрузку (1.txt) для закрепления расширения на устройстве жертвы.

Далее процесс атаки разбивается на два этапа, на каждом из которых выполняются дополнительные скрипты (2.txt и 3.txt) с помощью PowerShell. После этого запускается исполняемый файл myau.exe, предназначенный для кражи учетных данных криптовалютных кошельков и обхода защитных механизмов.

Стратегии обхода и устойчивость вредоносного ПО

Исполняемый файл myau.exe применяет сразу несколько тактик для обхода системной защиты:

  • Отключает сканирование штатного Windows Defender, изменяя его параметры исключения;
  • Вызывает функцию RtlSetProcessIsCritical, чтобы в случае завершения процесса вредоносного ПО нарушить стабильность системы;
  • Модифицирует параметры восстановления Windows, включая сброс реестрового раздела NoReboot и деактивацию среды восстановления OS;
  • Подключается к серверу управления (C2) по адресу https://myaunet.su/HprEZkZZZrtZEH/TMDSRNerS для проверки загруженных файлов и получения новой полезной нагрузки.

Опасность троянских расширений для Visual Studio Code

Особое внимание экспертов привлекли три вредоносных расширения для VS Code, связанные с разработкой на Solidity. Это solaibot, among-eth и blankebesxstnion. Изначально они были доступны в VS Code Marketplace, однако позже удалены из-за обнаружения вредоносного кода и цепочек заражения, которые маскируют вредоносную активность под легитимный функционал.

Используемые методы включают запутанный код и комплексные сценарии доставки вредоносных программ, что позволяет злоумышленникам эффективно похищать учетные данные криптокошельков и других приложений.

Функциональность компонента myaunet.exe и дополнительные риски

В частности, модуль myaunet.exe специализируется на краже данных пользователей из популярных приложений, таких как Discord и криптовалютные кошельки. Дополнительно он внедряет правила в брандмауэр, препятствуя обнаружению и обновлению защитных служб.

Вредоносное ПО также изменяет файл Windows hosts, перенаправляя сетевые обращения к антивирусным доменам на локальные или скомпрометированные ресурсы. Это позволяет:

  • Скрывать сетевую активность от защитных систем;
  • Загружать дополнительные полезные нагрузки из доверенных ранее скомпрометированных доменов;
  • Обеспечивать постоянство вредоносных компонентов на устройстве жертвы.

Выводы и рекомендации

Демонстрируемые в кампании хакера MUT-9332 творческие методы уклонения показывают, что угроза остаётся актуальной и эволюционирующей. Адаптация вредоносного ПО к новым мерам защиты указывает на высокий уровень технической подготовки злоумышленника.

Кроме того, выявленные уязвимости, связанные с расширяемостью таких платформ, как Visual Studio Code, — существенный риск для разработчиков и связанных с ними систем безопасности. Рекомендуется:

  • Проверять все устанавливаемые расширения, используя официальные источники и советы специалистов;
  • Регулярно сканировать системы на наличие вредоносного ПО;
  • Использовать многофакторную аутентификацию для криптовалютных кошельков;
  • Обновлять защитные средства и системы своевременно;
  • Ограничивать выполнение скриптов PowerShell и мониторить подозрительные активности.

Безопасность в области разработки смарт-контрактов требует особого внимания в свете новых угроз, чтобы защитить как данные проектов, так и средства пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: