С конца декабря 2018 года многие пользователи популярного кошелька Electrum Bitcoin стали жертвами серии фишинговых атак, которые, по нашим оценкам, достигли более чем на 771 биткойн, что составляет приблизительно 4 миллиона долларов США.
Мошенники заставляли пользователей загрузить вредоносную версию кошелька, используя уязвимость в программном обеспечении Electrum.
В феврале, разработчики Electrum исправили недостаток в своем программном обеспечении, и перенаправляли пользователей на последнюю исправленную версию.
Вскоре после этого, ботнет начал распределенные атаки типа «отказ в обслуживании» (DDoS) на серверы Electrum за то, что, разработчики попытались исправить ошибку. Злоумышленники изменили сценарий так, что защищенные порты были настолько перегружены, что старым клиентам приходилось подключаться к вредоносным.
В этой статье мы расскажем о фишинг-схеме, используемой для распространения вредоносного обновления Electrum, обсудим, куда ушли украденные средства, и, наконец, рассмотрим заражение вредоносным ПО, непосредственно связанное с ботнетом и DDoS.
Кошелек Electrum 101
Чтобы лучше понять, как эти атаки стали настолько успешными, полезно иметь общее представление о том, как функционирует кошелек Electrum.
Известный как «легкий» биткойн-кошелек, Electrum реализует разновидность методики, описанной в официальном документе под названием «Упрощенная проверка платежей» (SPV). SPV позволяет пользователю отправлять и получать транзакции, не загружая полную копию цепочки биткойнов (размер которой составляет сотни гигабайт).
Вместо этого Electrum работает в конфигурации клиент / сервер. Кошелек (клиент) по умолчанию запрограммирован для подключения к сети одноранговых узлов (сервера), чтобы убедиться, что транзакции действительны.
Хотя исторически это был довольно безопасный метод ведения транзакций, злоумышленники воспользовались тем, что кому-либо разрешено работать в качестве публичного партнера Electrum. Как показано ниже, произошло значительное увеличение числа пиров, активных в сети Electrum:
Уведомление об обновлении поддельного кошелька Electrum
26 декабря 2018 года разработчик Electrum опубликовал публичное предупреждение на официальной странице GitHub, предоставив некоторую информацию о атаке:
Для пользователей: когда вы проводите транзакцию, серверы могут сообщать вам об ошибках транзакции. В версиях Electrum до 3.3.3 эта ошибка - произвольный текст, и, что еще хуже, это HTML / расширенный текст (это значение по умолчанию в Qt). Таким образом, сервер, к которому вы подключены, может попытаться обмануть вас, предложив вам установить вредоносное ПО (замаскированное под обновление). Вам следует обновить Electrum с официального сайта, чтобы серверы больше не могли делать это с вами. Если вы видите эти сообщения / всплывающие окна, просто убедитесь, что вы не следуете им и не устанавливаете то, что вам говорят. Сообщения - это просто сообщения, они не могут причинить вам вред.
Если пользователь подключается к вредоносному узлу (с высокой вероятностью) и пытается отправить транзакцию через него, он будет заблокирован из-за уязвимости в Electrum, позволяющей принимать и отображать произвольный HTML / форматированный текст, такой как фальшивое обновление. Сообщение видно ниже:
На втором этапе атаки пользователь вводит вредоносную версию кошелька Electrum.
Два различных мошеннических проекта были активны на Github примерно с 21 по 27 декабря.
Вредоносные кошельки Electrum
В практических целях мы будем называть следующие вредоносные программы Вариант 1 и Вариант 2, однако дальнейшие исследования показали, что мошенники используют эту уязвимость достаточно давно. Таким образом, вероятно , что до 21 декабря 2018 года существовали другие разновидности этой вредоносной программы. Варианты 1 и 2, по-видимому, эксплуатировались различными мошенниками.
Вариант 1
Вариант 1 уникален тем, что авторы вредоносных программ реализовали функцию загрузки украденных ключей кошелька и начальных данных на удаленный сервер. Были предприняты дополнительные усилия для обеспечения того, чтобы эта функция оставалась скрытой, запутывая код эксфильтрации данных внутри файла, который обычно не находится в Electrum и называется initmodules.py.
Как уже упоминалось, домены эксфильтрации не видны в приведенном выше коде и вместо этого создаются во время выполнения вредоносных программ. Скорее всего, это метод, используемый авторами вредоносных программ для того, чтобы код, содержащийся в файле initmodules.py, был легитимным.
В дополнение к краже данных кошелька, любой баланс, присутствующий в кошельке, отправляется на один из нескольких кошельков злоумышленников. Адрес отправки зависит от формата адреса, используемого кошельком Electrum зараженных пользователей.
Адреса Pay-to-PubkeyHash (P2PKH) используются по умолчанию во время установки и, вероятно, являются наиболее распространенным типом адресов, используемым обычным пользователем биткойнов. Этот факт очевиден при поиске активности каждого адреса.
Вариант 1 Всего биткойнов: 218.1527981 BTC
Вариант 1 USD всего: ~ 1 101 034,00 $
Все домены для распространения вредоносных данных, обнаруженные во время нашего анализа Варианта 1, были созданы одновременно, и все они были обнаружены на IP-адресе 31.31.196.86. Этот адрес принадлежит Reg.ru, хостинговой компании, базирующейся в Москве, Россия.
Двоичные файлы варианта 1 также уникальны для более поздних вариантов, поскольку установщики Windows имеют цифровую подпись.
Интересно, что цифровой сертификат, используемый для подписи одного из вредоносных файлов Windows Electrum (EIZ Ltd), недавно использовался для подписания несвязанного вредоносного ПО.
Вариант 2
Вариант 1 был очень успешным в краже Биткойнов, но нельзя было исключить, что мошенники будут искать другие способы кражи. Конечно же, появился второй вариант кражи кошельков Electrum. Этот вариант атаковал довольно агрессивно, приводя к краже большего количества биткойнов, чем вариант 1.
Вместо перенаправления жертв на вредоносный сайт Github, вариант 2 размещает вредоносные файлы в домене с аналогичным написанием, что и на официальном сайте загрузки Electrum. Содержимое сайтов по сути является зеркальным отображением.
Хакеры, хорошо понимали Electrum и его код. Например, они отключили автоматическое обновление, удалили приглашения, такие как «Да, я уверен», и даже убрали возможность выполнять транзакции с заменой платы (RBF).
Replace-by-Fee - это функция, которая была добавлена в кодовую базу биткойнов позже в процессе разработки, которая позволила бы пользователям создавать транзакцию двойного расходования. В этом случае, если вы знали об этой функции (и, вероятно, мало кто знает), вы можете отменить перевод украденных средств, удвоив затраты на ввод, используя более высокую плату.
Например, если вы установили вредоносный кошелек и потеряли кучу биткойнов, единственным способом вернуть его была бы попытка транзакции RBF отменить перевод. Но вам нужно действовать быстро, пока перевод не подтвердится. Отключив эту функцию, хакеры сделали все возможное, чтобы это было невозможно.
Ниже приведен модифицированный исходный код Variant 2, файла сценария paytoedit.pyc, перенаправляющего платеж на биткойн-адрес злоумышленника:
Вариант 2 Всего биткойнов: 637,7264 BTC
Вариант 2 USD всего: ~ 2 950 555,00 $
Куда делись все монеты?
Некоторый простой анализ цепочки блоков по средствам, украденным Вариантом 1, показывает нам, что злоумышленники разбили BTC на меньшие суммы. В этом случае 48,36 BTC перегруппируется в основном в 3,5 BTC, а затем в 1,9 BTC.
Такая модель, вероятно, свидетельствует о том, что используется метод отмывания денег, известный как «смарфинг». При 1,9 BTC, равном приблизительно 7 000 долларов США, депозиты на эту сумму вряд ли вызовут отчет о валютных операциях (CTR), поскольку эта сумма находится ниже порога в 10 000 долларов США.
Наконец, 11 выводов, показанных выше, объединяются с дополнительными 15 выводами перед отправкой на 329nUnJxz5zgr4vnNPu8JNwpa3qEJfucQX, адрес, который вводится в известный адрес горячего кошелька для обмена криптовалютой Bitfinex.
В воскресенье, 14 апреля, мы заметили, что злоумышленники в Варианте 2 только что обналичили свой новый кошелек на 114.61050153 BTC (более полумиллиона долларов):
Многие движения украденных средств из Варианта 2, похоже, следуют аналогичной схеме. Давайте посмотрим на недавний вывод 38.38517511 BTC с адреса злоумышленника «bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q». Транзакция всегда делится на 2 выхода:
Принимая во внимание передачу 36.38011271 BTC, к которой мы еще вернемся, давайте сначала проследим за передачей 2.0050624 BTC по адресу «1BCtXcP3gc7FygZMegeKUPsogo68aKRSPA», а затем «1wotccCFTuLQdCv46Bz3zqcosDCDwAWhd». Мы видим транзакцию, содержащую 2 выхода, в которых адрес «3DvWYYkzgHbyBgUTSjtPsLmkzs1R9frSrz» потребляет все средства. Другой вывод с именем «not-address» - это то, что известно как код операции сценария OP_RETURN. Этот код операции обычно используется для записи данных в блокчейн.
Действительно, транзакция содержит некоторые закодированные данные, которые, скорее всего, хранятся как часть транзакции с несколькими подписями:
Хотя точное назначение данных, хранящихся с использованием OP_RETURN, неизвестно, это не имеет большого значения, и мы все еще можем следить за поступательным движением средств BTC Варианта 2, чтобы узнать их назначение:
Следующий по величине вывод 1.96991794 из предыдущей транзакции потребляется идентификатором транзакции f5abb14ffc1d57494934d10a2114b2e4fc812b7e18f73d0f6202a995d2bea1be, который содержит 445 входов на общую сумму 100.02103004 BTC.
Эти 100 BTC затем перемещаются по адресу 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s, известному адресу горячего кошелька для Binance. Давайте кратко рассмотрим пункт назначения 36.38011271 BTC, который мы отметили ранее. В целях краткости мы следуем аналогичным путям отслеживания средств, поскольку они разделены таким же образом, как и выше:
Как видим, 25,8 BTC отправляются по адресу «3MRqgoPe6vBNVEn9Fo85qK7zvaLb9e9T2x». Многие адреса, связанные с этим кошельком, по-видимому, связаны с тем, что на вид мошеннические сайты предлагают «удвоить биткойн».
Поскольку маловероятно, что вы сможете просто удвоить любое количество отправленных вами биткойнов, вполне вероятно, что эти веб-сайты существуют для того, чтобы предлагать другую функцию, такую как смешивание / отмывание средств для преступников.
Контрмеры и репрессии
Столкнувшись с такими распространенными атаками на свою пользовательскую базу, разработчики Electrum решили использовать ту же самую уязвимость, чтобы отобразить законное уведомление об обновлении. Однако этого было недостаточно, чтобы остановить злоумышленников, поэтому позже Electrum решил провести атаки типа «отказ в обслуживании» против своих собственных пользователей, чтобы они не могли подключаться к мошенническим узлам.
Список атакующих IP-адресов (состоящий из 72 977 машин на момент написания) постоянно обновляется. Это число почти утроилось в течение недели, подтверждая, что атаки растут быстрыми темпами.
Вредоносные программы, стоящие за ботнетом и DDoS-атаками
Несмотря на то, что точный размер ботнета точно не известен, мы смогли узнать больше о том, как набираются новые боты. Мы столкнулись с вредоносным ПО, стоящим за этим ботнетом, с двух разных путей заражения - мы предполагаем, что существует еще несколько. Один был через экземпляр Smoke Loader, который загружал вторичную полезную нагрузку, а другой был из комплекта эксплойтов RIG.
В последнем случае мы наблюдали кампанию вредоносной рекламы, перенаправляющую на набор эксплойтов RIG и, в конечном счете, предоставляющую загрузчик, который может выглядеть как майнер, но на самом деле представляет собой вредоносное ПО, превращающее зараженные компьютеры в отдельных ботов для атак на отказ в обслуживании на серверы Electrum.
Мы видим, что загрузчик собирает список узлов Electrum для атаки с использованием нескольких общедоступных адресов кошелька. Каждая зараженная машина начнет бить законные узлы Electrum, чтобы нанести ущерб.
Анализ этого загрузчика подтверждает активность сети, которую мы наблюдали выше:
Он извлекает большой файл (> 40 МБ), который представляет собой скомпилированный Python-код (транзакцияservices.exe) для кошелька Electrum, и записывает его на диск.
Он также добавляет механизм персистентности для подпроцесса, называемого transactionserviceshelper.exe.
Атаки отказа в обслуживании против серверов ElectrumX
Эта атака состоит из переполнения серверов ElectrumX через порт 50002 или 50001, как видно из следующего захвата трафика:
Мы также заметили другой тип пакета, показанный как ложная повторная передача TCP. Это также называется «ненужной повторной передачей», когда получатель уже подтвердил получение, но инициатор все равно отправил его снова. Однако возможно, что этот трафик является побочным продуктом атак SYN.
IP-адрес лабораторного компьютера, который мы использовали для детонации вредоносного ПО, попал в черный список в том же обновленном списке клиентов, которые атакуют серверы Electrumx, упомянутые выше, что подтверждает наше временное присутствие в этом ботнете.
Согласно нашей телеметрии, это распределение большинства жертв, участвующих в DDoS в течение последних нескольких дней, на основе попыток подключения к серверам управления и контроля вредоносных программ.
Продолжающиеся атаки и еще больше воровства на горизонте
Любой, кто отслеживает криптовалюты, знает, что их ждет ещё много атак. Определенные участники угроз использовали уязвимость в самом популярном биткойн-кошельке, чтобы создать ловкую фишинговую атаку, которая за несколько месяцев принесла им более 3 миллионов долларов США.
Люди, работающие на собственных серверах Electrum, могут по-разному смягчать атаки DDoS. Они могут настроить работу cron, чтобы загрузить список атакующих IP-адресов и заблокировать их. Они также могут создать правило iptables для ограничения скорости попыток подключения к известным портам, которые подвергаются атаке.
Пользователям кошелька Electrum необходимо обновить программное обеспечение до последней версии (3.3.4) из официального репозитория и быть особенно осторожным с обновлениями или другими предупреждающими сообщениями, которые могут быть замаскированы при попытках фишинга.
Malwarebytes обнаруживает вредоносные кошельки для Mac OS X как OSX.ElectrumStealer и Electrum.Stealer для Windows.
IOCs
Двоичные файлы кошелька Electrum
Поддельные домены
Атакующие Биткойн адреса
Мошеннические / вредоносные цифровые сертификаты (только для Windows)
RIG EK полезная нагрузка
transactionservices.exe (Electrum wallet)
IP-адреса (хост хоста Electrum и конфиги)
Мошенники заставляли пользователей загрузить вредоносную версию кошелька, используя уязвимость в программном обеспечении Electrum.
В феврале, разработчики Electrum исправили недостаток в своем программном обеспечении, и перенаправляли пользователей на последнюю исправленную версию.
Вскоре после этого, ботнет начал распределенные атаки типа «отказ в обслуживании» (DDoS) на серверы Electrum за то, что, разработчики попытались исправить ошибку. Злоумышленники изменили сценарий так, что защищенные порты были настолько перегружены, что старым клиентам приходилось подключаться к вредоносным.
В этой статье мы расскажем о фишинг-схеме, используемой для распространения вредоносного обновления Electrum, обсудим, куда ушли украденные средства, и, наконец, рассмотрим заражение вредоносным ПО, непосредственно связанное с ботнетом и DDoS.
Кошелек Electrum 101
Чтобы лучше понять, как эти атаки стали настолько успешными, полезно иметь общее представление о том, как функционирует кошелек Electrum.
Известный как «легкий» биткойн-кошелек, Electrum реализует разновидность методики, описанной в официальном документе под названием «Упрощенная проверка платежей» (SPV). SPV позволяет пользователю отправлять и получать транзакции, не загружая полную копию цепочки биткойнов (размер которой составляет сотни гигабайт).
Вместо этого Electrum работает в конфигурации клиент / сервер. Кошелек (клиент) по умолчанию запрограммирован для подключения к сети одноранговых узлов (сервера), чтобы убедиться, что транзакции действительны.
Хотя исторически это был довольно безопасный метод ведения транзакций, злоумышленники воспользовались тем, что кому-либо разрешено работать в качестве публичного партнера Electrum. Как показано ниже, произошло значительное увеличение числа пиров, активных в сети Electrum:
Уведомление об обновлении поддельного кошелька Electrum
26 декабря 2018 года разработчик Electrum опубликовал публичное предупреждение на официальной странице GitHub, предоставив некоторую информацию о атаке:
Для пользователей: когда вы проводите транзакцию, серверы могут сообщать вам об ошибках транзакции. В версиях Electrum до 3.3.3 эта ошибка - произвольный текст, и, что еще хуже, это HTML / расширенный текст (это значение по умолчанию в Qt). Таким образом, сервер, к которому вы подключены, может попытаться обмануть вас, предложив вам установить вредоносное ПО (замаскированное под обновление). Вам следует обновить Electrum с официального сайта, чтобы серверы больше не могли делать это с вами. Если вы видите эти сообщения / всплывающие окна, просто убедитесь, что вы не следуете им и не устанавливаете то, что вам говорят. Сообщения - это просто сообщения, они не могут причинить вам вред.
Если пользователь подключается к вредоносному узлу (с высокой вероятностью) и пытается отправить транзакцию через него, он будет заблокирован из-за уязвимости в Electrum, позволяющей принимать и отображать произвольный HTML / форматированный текст, такой как фальшивое обновление. Сообщение видно ниже:
На втором этапе атаки пользователь вводит вредоносную версию кошелька Electrum.
Два различных мошеннических проекта были активны на Github примерно с 21 по 27 декабря.
Код:
hxxps://github.com/electrum-project/electrum/releases/tag/3.4.1
hxxps://github.com/electrum-wallet/electrum/releasesВредоносные кошельки Electrum
В практических целях мы будем называть следующие вредоносные программы Вариант 1 и Вариант 2, однако дальнейшие исследования показали, что мошенники используют эту уязвимость достаточно давно. Таким образом, вероятно , что до 21 декабря 2018 года существовали другие разновидности этой вредоносной программы. Варианты 1 и 2, по-видимому, эксплуатировались различными мошенниками.
Вариант 1
Вариант 1 уникален тем, что авторы вредоносных программ реализовали функцию загрузки украденных ключей кошелька и начальных данных на удаленный сервер. Были предприняты дополнительные усилия для обеспечения того, чтобы эта функция оставалась скрытой, запутывая код эксфильтрации данных внутри файла, который обычно не находится в Electrum и называется initmodules.py.
Как уже упоминалось, домены эксфильтрации не видны в приведенном выше коде и вместо этого создаются во время выполнения вредоносных программ. Скорее всего, это метод, используемый авторами вредоносных программ для того, чтобы код, содержащийся в файле initmodules.py, был легитимным.
В дополнение к краже данных кошелька, любой баланс, присутствующий в кошельке, отправляется на один из нескольких кошельков злоумышленников. Адрес отправки зависит от формата адреса, используемого кошельком Electrum зараженных пользователей.
Адреса Pay-to-PubkeyHash (P2PKH) используются по умолчанию во время установки и, вероятно, являются наиболее распространенным типом адресов, используемым обычным пользователем биткойнов. Этот факт очевиден при поиске активности каждого адреса.
Код:
14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5 (P2PKH address type)
Total Received: 202.91141530 BTC ~ 776,243.23 USD
bc1q9h36cyfnqcxjeuw629kwmnp5a7k5pky8l2kzww
Total Received: 0.01927492 BTC ~ 73.75 USD
1rTt8GePHv8LceXnujWqerUd81U29m857
Total Received: 0 BTC
3CrC4UitJqNqdkXY5XbJfCaGnbxHkKNqzL
Total Received: 15.22210788 BTC ~ 58,239.77 USD
1FmxAHft8trWjhRNvDsbjD8JNoSzDX8pfD
Total Received: 0 BTCВариант 1 Всего биткойнов: 218.1527981 BTC
Вариант 1 USD всего: ~ 1 101 034,00 $
Все домены для распространения вредоносных данных, обнаруженные во время нашего анализа Варианта 1, были созданы одновременно, и все они были обнаружены на IP-адресе 31.31.196.86. Этот адрес принадлежит Reg.ru, хостинговой компании, базирующейся в Москве, Россия.
Двоичные файлы варианта 1 также уникальны для более поздних вариантов, поскольку установщики Windows имеют цифровую подпись.
Интересно, что цифровой сертификат, используемый для подписи одного из вредоносных файлов Windows Electrum (EIZ Ltd), недавно использовался для подписания несвязанного вредоносного ПО.
Вариант 2
Вариант 1 был очень успешным в краже Биткойнов, но нельзя было исключить, что мошенники будут искать другие способы кражи. Конечно же, появился второй вариант кражи кошельков Electrum. Этот вариант атаковал довольно агрессивно, приводя к краже большего количества биткойнов, чем вариант 1.
Вместо перенаправления жертв на вредоносный сайт Github, вариант 2 размещает вредоносные файлы в домене с аналогичным написанием, что и на официальном сайте загрузки Electrum. Содержимое сайтов по сути является зеркальным отображением.
Хакеры, хорошо понимали Electrum и его код. Например, они отключили автоматическое обновление, удалили приглашения, такие как «Да, я уверен», и даже убрали возможность выполнять транзакции с заменой платы (RBF).
Replace-by-Fee - это функция, которая была добавлена в кодовую базу биткойнов позже в процессе разработки, которая позволила бы пользователям создавать транзакцию двойного расходования. В этом случае, если вы знали об этой функции (и, вероятно, мало кто знает), вы можете отменить перевод украденных средств, удвоив затраты на ввод, используя более высокую плату.
Например, если вы установили вредоносный кошелек и потеряли кучу биткойнов, единственным способом вернуть его была бы попытка транзакции RBF отменить перевод. Но вам нужно действовать быстро, пока перевод не подтвердится. Отключив эту функцию, хакеры сделали все возможное, чтобы это было невозможно.
Ниже приведен модифицированный исходный код Variant 2, файла сценария paytoedit.pyc, перенаправляющего платеж на биткойн-адрес злоумышленника:
Код:
bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q
Total received: 187.8298 BTC / 941,436 USD
bc1q92md7868uun8vplp9te0vaecmxyc5rrphdyvxg
Total received: 55.9948 BTC / 201,326 USD
bc1q7hsnpd794pap2hd3htn8hszdfk5hzgsj5md9lz
Total received: 36.7358 BTC / 126,972 USD
bc1ql0p2lrnnxkxnw52phyq8tjr7elsqtnncad6mfv
Total received: 75.2927 BTC / 291,342 USD
bc1qyjkcthq9whn3e8h9dd26gjr9kd8pxmqdgvajwv
Total received: 21.8628 BTC / 84,678 USD
bc1qvr93mxj5ep58wlchdducthe89hcmk3a4uqpw3c
Total received: 27.3636 BTC / 138,733 USD
bc1qcla39fm0q8ka8th8ttpq0yxla30r430m4hgu3x
Total received: 232.6469 BTC / 1,166,068 USDВариант 2 Всего биткойнов: 637,7264 BTC
Вариант 2 USD всего: ~ 2 950 555,00 $
Куда делись все монеты?
Некоторый простой анализ цепочки блоков по средствам, украденным Вариантом 1, показывает нам, что злоумышленники разбили BTC на меньшие суммы. В этом случае 48,36 BTC перегруппируется в основном в 3,5 BTC, а затем в 1,9 BTC.
Такая модель, вероятно, свидетельствует о том, что используется метод отмывания денег, известный как «смарфинг». При 1,9 BTC, равном приблизительно 7 000 долларов США, депозиты на эту сумму вряд ли вызовут отчет о валютных операциях (CTR), поскольку эта сумма находится ниже порога в 10 000 долларов США.
Наконец, 11 выводов, показанных выше, объединяются с дополнительными 15 выводами перед отправкой на 329nUnJxz5zgr4vnNPu8JNwpa3qEJfucQX, адрес, который вводится в известный адрес горячего кошелька для обмена криптовалютой Bitfinex.
В воскресенье, 14 апреля, мы заметили, что злоумышленники в Варианте 2 только что обналичили свой новый кошелек на 114.61050153 BTC (более полумиллиона долларов):
Многие движения украденных средств из Варианта 2, похоже, следуют аналогичной схеме. Давайте посмотрим на недавний вывод 38.38517511 BTC с адреса злоумышленника «bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q». Транзакция всегда делится на 2 выхода:
Принимая во внимание передачу 36.38011271 BTC, к которой мы еще вернемся, давайте сначала проследим за передачей 2.0050624 BTC по адресу «1BCtXcP3gc7FygZMegeKUPsogo68aKRSPA», а затем «1wotccCFTuLQdCv46Bz3zqcosDCDwAWhd». Мы видим транзакцию, содержащую 2 выхода, в которых адрес «3DvWYYkzgHbyBgUTSjtPsLmkzs1R9frSrz» потребляет все средства. Другой вывод с именем «not-address» - это то, что известно как код операции сценария OP_RETURN. Этот код операции обычно используется для записи данных в блокчейн.
Действительно, транзакция содержит некоторые закодированные данные, которые, скорее всего, хранятся как часть транзакции с несколькими подписями:
Хотя точное назначение данных, хранящихся с использованием OP_RETURN, неизвестно, это не имеет большого значения, и мы все еще можем следить за поступательным движением средств BTC Варианта 2, чтобы узнать их назначение:
Следующий по величине вывод 1.96991794 из предыдущей транзакции потребляется идентификатором транзакции f5abb14ffc1d57494934d10a2114b2e4fc812b7e18f73d0f6202a995d2bea1be, который содержит 445 входов на общую сумму 100.02103004 BTC.
Эти 100 BTC затем перемещаются по адресу 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s, известному адресу горячего кошелька для Binance. Давайте кратко рассмотрим пункт назначения 36.38011271 BTC, который мы отметили ранее. В целях краткости мы следуем аналогичным путям отслеживания средств, поскольку они разделены таким же образом, как и выше:
Как видим, 25,8 BTC отправляются по адресу «3MRqgoPe6vBNVEn9Fo85qK7zvaLb9e9T2x». Многие адреса, связанные с этим кошельком, по-видимому, связаны с тем, что на вид мошеннические сайты предлагают «удвоить биткойн».
Поскольку маловероятно, что вы сможете просто удвоить любое количество отправленных вами биткойнов, вполне вероятно, что эти веб-сайты существуют для того, чтобы предлагать другую функцию, такую как смешивание / отмывание средств для преступников.
Контрмеры и репрессии
Столкнувшись с такими распространенными атаками на свою пользовательскую базу, разработчики Electrum решили использовать ту же самую уязвимость, чтобы отобразить законное уведомление об обновлении. Однако этого было недостаточно, чтобы остановить злоумышленников, поэтому позже Electrum решил провести атаки типа «отказ в обслуживании» против своих собственных пользователей, чтобы они не могли подключаться к мошенническим узлам.
Список атакующих IP-адресов (состоящий из 72 977 машин на момент написания) постоянно обновляется. Это число почти утроилось в течение недели, подтверждая, что атаки растут быстрыми темпами.
Вредоносные программы, стоящие за ботнетом и DDoS-атаками
Несмотря на то, что точный размер ботнета точно не известен, мы смогли узнать больше о том, как набираются новые боты. Мы столкнулись с вредоносным ПО, стоящим за этим ботнетом, с двух разных путей заражения - мы предполагаем, что существует еще несколько. Один был через экземпляр Smoke Loader, который загружал вторичную полезную нагрузку, а другой был из комплекта эксплойтов RIG.
В последнем случае мы наблюдали кампанию вредоносной рекламы, перенаправляющую на набор эксплойтов RIG и, в конечном счете, предоставляющую загрузчик, который может выглядеть как майнер, но на самом деле представляет собой вредоносное ПО, превращающее зараженные компьютеры в отдельных ботов для атак на отказ в обслуживании на серверы Electrum.
Мы видим, что загрузчик собирает список узлов Electrum для атаки с использованием нескольких общедоступных адресов кошелька. Каждая зараженная машина начнет бить законные узлы Electrum, чтобы нанести ущерб.
Анализ этого загрузчика подтверждает активность сети, которую мы наблюдали выше:
Он извлекает большой файл (> 40 МБ), который представляет собой скомпилированный Python-код (транзакцияservices.exe) для кошелька Electrum, и записывает его на диск.
Он также добавляет механизм персистентности для подпроцесса, называемого transactionserviceshelper.exe.
Атаки отказа в обслуживании против серверов ElectrumX
Эта атака состоит из переполнения серверов ElectrumX через порт 50002 или 50001, как видно из следующего захвата трафика:
Мы также заметили другой тип пакета, показанный как ложная повторная передача TCP. Это также называется «ненужной повторной передачей», когда получатель уже подтвердил получение, но инициатор все равно отправил его снова. Однако возможно, что этот трафик является побочным продуктом атак SYN.
IP-адрес лабораторного компьютера, который мы использовали для детонации вредоносного ПО, попал в черный список в том же обновленном списке клиентов, которые атакуют серверы Electrumx, упомянутые выше, что подтверждает наше временное присутствие в этом ботнете.
Согласно нашей телеметрии, это распределение большинства жертв, участвующих в DDoS в течение последних нескольких дней, на основе попыток подключения к серверам управления и контроля вредоносных программ.
Продолжающиеся атаки и еще больше воровства на горизонте
Любой, кто отслеживает криптовалюты, знает, что их ждет ещё много атак. Определенные участники угроз использовали уязвимость в самом популярном биткойн-кошельке, чтобы создать ловкую фишинговую атаку, которая за несколько месяцев принесла им более 3 миллионов долларов США.
Люди, работающие на собственных серверах Electrum, могут по-разному смягчать атаки DDoS. Они могут настроить работу cron, чтобы загрузить список атакующих IP-адресов и заблокировать их. Они также могут создать правило iptables для ограничения скорости попыток подключения к известным портам, которые подвергаются атаке.
Пользователям кошелька Electrum необходимо обновить программное обеспечение до последней версии (3.3.4) из официального репозитория и быть особенно осторожным с обновлениями или другими предупреждающими сообщениями, которые могут быть замаскированы при попытках фишинга.
Malwarebytes обнаруживает вредоносные кошельки для Mac OS X как OSX.ElectrumStealer и Electrum.Stealer для Windows.
IOCs
Двоичные файлы кошелька Electrum
Код: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Код:
btc-electrum[.]com
btcelectrum[.]org
downloadelectrum[.]com
downloadelectrum[.]org
eiectrum[.]net
electrum[.]bz
electrumapp[.]org
electrumapps[.]com
electrumbase[.]com
electrumbase[.]net
electrumbase[.]org
electrumbitcoin[.]org
electrumbtc[.]org
electrumbuild[.]com
electrumcircle[.]com
electrumclient[.]org
electrumcore[.]com
electrumcore[.]net
electrumdownload[.]com
electrumdownload[.]org
electrume[.]com
electrume[.]org
electrumfix[.]com
electrumget[.]com
electrumget[.]com
electrumhub[.]com
electrumnet[.]com
electrumofficial[.]com
electrumopen[.]org
electrumpgrade[.]com
electrumsafe[.]org
electrumsite[.]com
electrumsource[.]org
electrumstart[.]org
electrumtxn[.]com
electrumupdate[.]com
electrumupgrade[.]com
electrumupgrade[.]org
electrumware[.]com
electrumware[.]org
electrumweb[.]net
getelectrum[.]com
getelectrum[.]live
getelectrum[.]org
goelectrum[.]com
myelectrum[.]orgАтакующие Биткойн адреса
Код:
bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q
bc1q92md7868uun8vplp9te0vaecmxyc5rrphdyvxg
bc1q7hsnpd794pap2hd3htn8hszdfk5hzgsj5md9lz
bc1ql0p2lrnnxkxnw52phyq8tjr7elsqtnncad6mfv
bc1qyjkcthq9whn3e8h9dd26gjr9kd8pxmqdgvajwv
bc1q9h36cyfnqcxjeuw629kwmnp5a7k5pky8l2kzww
bc1qvr93mxj5ep58wlchdducthe89hcmk3a4uqpw3c
bc1qcla39fm0q8ka8th8ttpq0yxla30r430m4hgu3x
14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5
3CrC4UitJqNqdkXY5XbJfCaGnbxHkKNqzL
31rTt8GePHv8LceXnujWqerUd81U29m857
1FmxAHft8trWjhRNvDsbjD8JNoSzDX8pfDМошеннические / вредоносные цифровые сертификаты (только для Windows)
Код:
Name: PRO SOFTS
Serial Number: 15 8F D7 D2 FB 6E 69 E7 75 AB EE 6E
Name: EIZ Ltd
Serial Number: 06 6A F7 6B 79 4F 63 79 3C C0 CA 33 78 6F 07 47RIG EK полезная нагрузка
9296b210b782faecca8394b2bd7bf720ffa5c122b83c4ed462ba25d3e1b8ce9atransactionservices.exe (Electrum wallet)
c3a7cf30428689a44328090b994ce593bbf2a68141fcbefb899dee4fec336198IP-адреса (хост хоста Electrum и конфиги)
Код:
178.159.37[.]113
194.63.143[.]226
217.147.169[.]179
188.214.135[.]174