СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
11 июня
#ИБ

Новый троян SilabRAT крадёт криптовалюту не ломая защиту, а захватывая уже авторизованные сессии

Новый троян SilabRAT крадёт криптовалюту не ломая защиту, а захватывая уже авторизованные сессии

изображение: grok

Исследователи Group-IB обнаружили вредоносное ПО SilabRAT, которое не пытается подбирать пароли или взламывать аккаунты, а перехватывает уже открытые сессии пользователя в браузере. Подход позволяет уводить криптовалюту даже у тех, кто включил многофакторную аутентификацию. Для российских владельцев цифровых активов угроза стоит остро, поскольку русскоязычный разработчик трояна активно продаёт его на подпольных площадках, а распространение идёт через привычную фишинговую рассылку и технику ClickFix.

Распространяется зловред по модели MaaS, то есть как сервис по подписке. Стоимость доступа к платформе составляет около 5000 долларов в месяц, а скидку получают те, кто берёт сразу два продукта от одного автора.

За проектом, по данным аналитиков, стоит русскоязычный пользователь под ником o1oo1. Параллельным продуктом этого же автора числится инструмент обфускации AsmCrypt, который продаётся в связке с трояном.

Заражение происходит по знакомой схеме. Операторы рассылают вредоносные письма, маскируют ссылки под легитимные ресурсы и применяют технику ClickFix, когда жертву уговаривают самостоятельно вставить опасную команду в окно выполнения. Многие антивирусы при этом ошибочно классифицируют активность как работу загрузчика HijackLoader, что играет на руку преступникам.

Стоит обратить внимание, что один из операторов хвастался на закрытых форумах — более 90% заражённых машин оставались под контролем в течение всей месячной кампании.

Главная техническая особенность платформы заключается в связке двух технологий, каждая из которых отдельно уже использовалась преступниками, а вместе они дают качественно новый результат:

  • HVNC или Hidden Virtual Network Computing для невидимого удалённого управления;
  • полное клонирование профиля браузера жертвы вместе с цифровым отпечатком;
  • компонент Target.dll для перехвата низкоуровневых обращений к файлам;
  • фоновый модуль поиска и мониторинга криптокошельков;
  • встроенный подменщик буфера обмена для перехвата адресов транзакций.

Технология HVNC работает так, что владелец компьютера не замечает чужого присутствия. Курсор не двигается сам по себе, окна программ не открываются, никаких признаков постороннего вмешательства нет. Преступник в это время параллельно ведёт собственную скрытую сессию через то же сетевое подключение, поэтому защитные системы видят обычную пользовательскую активность.

Вторая часть схемы устроена ещё хитрее. Современные сервисы давно научились отличать вход с чужого устройства даже при наличии правильных cookie-файлов. Они смотрят на разрешение экрана, набор расширений, языковые настройки, особенности шрифтов и десятки других параметров.

SilabRAT обходит эту проверку лобовым способом — копирует профиль браузера целиком. Утекают расширения, локальные базы данных, настройки и весь набор отпечатков, по которым сервис узнаёт постоянного пользователя.

Интересно, что после такого клонирования злоумышленник заходит в аккаунт жертвы в условиях, практически не отличимых от оригинальных, и антифрод-системы криптобирж не видят ничего подозрительного.

Основная мишень трояна — криптовалютные активы пользователей. Фоновый модуль постоянно сканирует систему на наличие установленных кошельков и пытается подбирать к ним пароли из учётных данных, вытащенных из браузера.

Дополнительную опасность создаёт способность обходить защиту Google Chrome. Для доступа к зашифрованным данным применяется техника повышения привилегий через COM-интерфейсы, которая в последние месяцы стала почти стандартом для стилеров.

Подмена содержимого буфера обмена работает по классической схеме криптоджекинга. Пользователь копирует адрес кошелька получателя, а в момент вставки в поле перевода адрес меняется на адрес преступника. Жертва видит знакомые первые и последние символы и нажимает «отправить», а средства уходят на чужой кошелёк.

Помимо охоты за криптовалютой троян умеет делать практически всё, что положено современным RAT-программам:

  • перехват нажатий клавиш для сбора паролей и переписки;
  • мониторинг содержимого буфера обмена в реальном времени;
  • удалённый доступ через TightVNC при необходимости;
  • обход контроля учётных записей пользователей Windows;
  • закрепление в системе через реестр и запланированные задачи.

Разработчик уже анонсировал расширение функциональности. В планах — внедрение в популярные криптокошельки на базе Electron, среди которых упоминаются Ledger Live и Trezor Suite. Для российских пользователей это болезненный момент, поскольку после ограничений на работу с западными биржами многие перешли именно на холодные кошельки и десктопные приложения, считая их более надёжной альтернативой.

Российский сегмент криптовалютного рынка остаётся одной из приоритетных мишеней для авторов SilabRAT по нескольким причинам. Русскоязычный разработчик хорошо понимает местную аудиторию, может писать убедительные фишинговые письма на родном языке и адаптировать приманки под привычные российским пользователям сервисы. Кроме того, серый статус криптовалют в стране осложняет жертвам обращение в правоохранительные органы после кражи средств.

Рекомендации специалистов для снижения рисков сводятся к набору практических мер, которые стоит применять любому владельцу цифровых активов:

  • включать многофакторную аутентификацию во всех сервисах работы с криптовалютой;
  • регулярно обновлять браузер, операционную систему и кошельковые приложения;
  • проверять адрес получателя перевода посимвольно перед подтверждением транзакции;
  • хранить крупные суммы на аппаратных кошельках без постоянного подключения к ПК;
  • скептически относиться к письмам с просьбами выполнить команды в окне «Выполнить».

Ранее мы писали о том, что злоумышленники распространяют Android-троян Drama RAT под видом бесплатных версий популярных приложений. Вредоносное ПО распространяется через мессенджеры, электронную почту и СМС-сообщения, предлагая пользователям получить доступ к платным функциям без оплаты. После установки программа способна получить расширенные права на устройстве, похищать конфиденциальные данные, перехватывать информацию из приложений и в отдельных случаях блокировать работу смартфона.

Эксперты редакции CISOCLUB заявили, что появление SilabRAT отражает фундаментальный сдвиг в подходах киберпреступников к атакам на криптовладельцев. Время прямолинейного подбора паролей и кражи cookie уходит в прошлое, на смену приходят сложные платформы, работающие на уровне эмуляции всей цифровой личности жертвы.

Российским пользователям следует помнить, что русскоязычное происхождение разработчика делает их потенциальной мишенью номер один — местные фишинговые кампании всегда выглядят убедительнее. Многофакторная аутентификация перестаёт быть серебряной пулей, и одной её недостаточно для защиты криптоактивов. Редакция рекомендует переходить на аппаратные кошельки и относиться к любым операциям с криптовалютой на компьютерах, где открыта почта и установлены десятки расширений, как к заведомо рискованным. Рынок MaaS-платформ растёт, и подобных угроз в ближайшие месяцы будет появляться всё больше.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: