СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
4 марта
#ИБ

SeaFlower: бэкдоры в web3-кошельках и кража начальных фраз

С марта 2022 года исследователи обнаружили сложную киберугрозу под названием SeaFlower, нацеленную на пользователей кошельков web3. Особенность кампании — внедрение бэкдора в легитимные приложения кошельков (включая MetaMask и Coinbase), что позволяет в фоновом режиме похищать конфиденциальные данные, в первую очередь начальные фразы (seed phrases), при сохранении нормальной внешней работы приложения.

Как работает SeaFlower

Анализ показал, что злоумышленники используют несколько взаимосвязанных техник:

  • Инжекция бэкдор-кода в легитимные сборки приложений. При этом backdoored-версии внешне не отличаются от оригинала: пользовательский интерфейс работает как обычно, что затрудняет обнаружение.
  • Методы обратного инжиниринга и техники, распространённые в китайскоязычном сообществе моддеров — это подтверждается использованием фреймворков и библиотек с документацией на китайском языке и имен пользователей, связанных с моддинг-инструментами.
  • Создание клонированных веб-сайтов, имитирующих законных провайдеров кошельков, через которые распространяются компрометированные сборки. Распространение целенаправленно ориентировано на китайскоязычных пользователей и активно использует поисковые системы, в частности Baidu.
  • Мониторинг файловых операций внутри приложения с целью перехвата методов хранения, где сохраняются начальные фразы. В iOS-версии MetaMask зафиксирован молчаливый запрос на передачу seed phrase злоумышленникам сразу после настройки кошелька.
  • Для Android-версий обнаружена реализация бэкдора через внедрение smali-кода, что указывает на применение похожих техник и в других кошельках (imToken, TokenPocket и т. п.).

Каждая внедрённая реализация содержит незначительные вариации в дизайне кода, но сохраняет единую цель — сбор учётных данных и seed phrases пользователей.

Последствия для пользователей

Успешная компрометация приводит к прямой утечке начальных фраз и, как следствие, к потенциальной потере средств из кошелька. Поскольку интерфейс приложения остаётся привычным и работоспособным, пользователи редко подозревают подмену, особенно при скачивании ПО с поддельных сайтов или сторонних источников.

«SeaFlower гарантирует сохранение первоначальной функциональности кошельков при молчаливой перекачке критичных данных в фоновом режиме», — отмечают аналитики.

Рекомендации для защиты

Учитывая сложность и изощрённость векторов атак SeaFlower, эксперты советуют следующие меры предосторожности:

  • Загружать приложения только из официальных магазинов приложений (App Store, Google Play) и проверять разработчика перед установкой.
  • Избегать скачивания кошельков с неизвестных или клонированных сайтов; сверять домен и SSL-сертификат официального сайта.
  • Не вводить seed phrase в сторонние приложения или на сомнительных сайтах; хранить начальные фразы офлайн и в зашифрованном виде там, где это возможно.
  • Использовать аппаратные кошельки (hardware wallets) для долгосрочного хранения значительных сумм, когда это возможно.
  • Постоянный мониторинг и анализ версий приложений: подозрительные сборки, отличающиеся размерами, правами или поведением, должны вызывать настороженность.
  • Регулярно обновлять ОС и приложения — некоторые инъекции могут эксплуатировать известные уязвимости.

Дальнейшее расследование и выводы

Расследование SeaFlower продолжается. Ожидается, что дальнейшая аналитика даст больше информации об инфраструктуре угрозы и возможной причастности преступной хакерской группировки. Пока же ситуация подчёркивает необходимость повышенной бдительности: атаки на криптовалютные сервисы и DeFi остаются приоритетной целью злоумышленников, а их инструментарий становится всё более изощрённым.

Пользователям web3 рекомендуется соблюдать перечисленные меры безопасности и внимательно относиться к источникам загрузки приложений — это остаётся одним из наиболее эффективных способов снизить риски, связанные с SeaFlower.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: