Пиратский конь: как злоумышленники крадут криптовалюту с помощью взломанного ПО

Пиратский конь: как злоумышленники крадут криптовалюту с помощью взломанного ПО



Скачивать пиратские программы опасно: с их помощью злоумышленники часто распространяют вредоносное ПО. Так, недавно эксперты «Лаборатории Касперского» обнаружили бэкдор, позволяющий красть цифровую валюту из криптокошельков с устройств на свежих версиях macOS — от 13.6 и выше. Как действует зловред и как от него защититься пользователям — разбирает в статье управляющий директор «Лаборатории Касперского» в Казахстане,  Центральной Азии и Монголии Валерий Зубанов. 

Как бэкдор проникает на устройство

Пользователь скачивает на устройство пиратскую программу — в виде образа диска. В нём содержится само приложение и программа-активатор. В инструкции говорится, что для того, чтобы программа заработала, её нужно взломать. Для этого нужно скопировать приложение в папку Applications, потом запустить активатор и ввести пароль администратора. После выполнения этих шагов программа действительно начинает работать. Однако это уловка злоумышленников: программа и так была взломана. Им просто нужно вынудить пользователя запустить активатор, чтобы получить привилегии администратора. Для этого они добавляют несколько байт в исполняемый файл, что делает программу нерабочей —  активатор потом их убирает. Права администратора позволяют установить скрипт-загрузчик, который скачивает дополнительную вредоносную нагрузку — бэкдор.

Как реализуется схема

Чтобы скачать вредоносный скрипт, активатор обращается к сервису доменных имён — DNS. DNS-записи связывают интернет-имя сервера с его IP-адресом. При этом они могут содержать произвольное текстовое описание сервера — или TXT-запись. Этим воспользовались злоумышленники: они разместили в таких TXT-записях фрагменты вредоносного кода. Активатор загружает три TXT-записи вредоносного домена и собирает из них готовый скрипт. 

Внешне активатор не делает ничего подозрительного, поскольку к DNS-записям обращаются все приложения в начале сеанса связи. При этом, изменяя TXT-записи домена, злоумышленники могут легко обновлять скрипт, чтобы модифицировать схему заражения и финальную вредоносную нагрузку. Удалить вредоносное содержимое из сети достаточно сложно — из-за распределённой структуры сервиса доменных имён. Интернет-провайдеры и другие компании также могут не обнаружить нарушение их политик, поскольку такие TXT-записи — только фрагмент вредоносного кода, и сам по себе он не опасен. 

Цель злоумышленников — криптокошельки

Бэкдор в автоматическом режиме проверяет, есть ли на устройстве приложения криптокошельков — Exodus и Bitcoin, и, если находит их, подменяет на заражённые версии. Благодаря этому злоумышленники могут перехватывать seed-фразу для кошельков Exodus, а также ключ шифрования для Bitcoin, с помощью которого зашифрованы приватные ключи — это позволяет подписывать переводы от имени жертвы и похищать средства из криптокошелька. 

Как избежать такой атаки

Чтобы минимизировать риск стать жертвой злоумышленников, нужно скачивать приложения только из официальных магазинов либо с сайта разработчика — предварительно убедившись, что это настоящий ресурс. Также следует обращать внимание на отзывы пользователей и в случае любых подозрений лучше не скачивать программу. Важно не забывать устанавливать обновления операционной системы и приложений. Часто они содержат исправления в области безопасности, в том числе уязвимостей, которыми могут воспользоваться злоумышленники. Для более надёжной защиты стоит установить специальное защитное решение, которое предупредит, если пользователь попытается скачать программу из подозрительного источника, а также о заражении устройства вредоносным ПО.