Ми зібрали найважливіші новини зі світу кібербезпеки за тиждень.
- Хакери адаптували шкідливий код під блокчейн.
- Global Ledger: звіт щодо зломів кросчейн-мостів.
- Правоохоронці знешкодили хмельницьку криптобанду.
- США конфіскували біткоїн на $15 млрд у лідера камбоджійського угруповання.
Хакери адаптували шкідливість під блокчейн
За повідомленням Google Threat Intelligence Group (GTIG) від 17 жовтня, хакери почали використовувати техніку EtherHiding, яка дозволяє розміщувати та доставляти шкідливе ПЗ через смарт-контракти. Такий метод застосовується для крадіжки криптовалют у процесі атак з елементами соціальної інженерії.
За даними аналітиків, за цією активністю стоїть північнокорейська група, відома як UNC5342, яка з лютого використовує EtherHiding в рамках операцій під назвою Contagious Interview.
EtherHiding – це спосіб поширення шкідливих програм, за якого дані вбудовуються в смарт-контракти, розміщені в публічних блокчейнах на кшталт Ethereum.
Завдяки особливостям блокчейна, EtherHiding забезпечує:
- анонімність виконавців;
- стійкість до блокувань і видалення;
- можливість гнучкого оновлення шкідливого коду за низьких витрат;
- високу скритність, не залишаючи слідів в історії транзакцій.
Смарт-контракт містить завантажувач JADESNOW, який взаємодіє з Ethereum і запускає другий етап атаки – JavaScript-шкідливий шкідник InvisibleFerret, який зазвичай застосовується для довгострокового шпигунства.
Атаки зазвичай починаються з помилкових співбесід у фіктивних компаніях – типової тактики північнокорейських хакерів. Жертву переконують виконати код нібито в рамках технічного тесту, на ділі процес активує шахрайський JavaScript.
Після встановлення шкідник:
- працює у фоновому режимі;
- очікує команд від віддаленого сервера;
- може виконувати довільні команди і відправляти вкрадені файли у форматі ZIP на зовнішній сервер або в Telegram.
GTIG зазначає, що ПЗ працює в пам’яті і може запитувати з Ethereum додатковий модуль, призначений для крадіжки облікових даних.
За даними дослідників, за перші чотири місяці контракт оновлювали понад 20 разів, при цьому кожен апгрейд коштував у середньому всього $1,37 у вигляді комісій.
Шкідливий компонент націлений на паролі, інформацію про банківські картки та криптогаманці на кшталт MetaMask і Phantom, а також дані браузерів.
Global Ledger: звіт щодо зломів кросчейн-мостів
У жовтні аналітики швейцарської Global Ledger надали звіт щодо підтверджених зломів кросчейн-мостів з 2021 року до III кварталу 2025 року. За їхніми даними, за цей період проведено 34 хакерські атаки, збиток від яких склав ~$2,9 млрд.
У 85% випадків кошти виведено до того, як інцидент було публічно розкрито. Перші перекази відбувалися в середньому протягом 2 годин 15 хвилин, тоді як публічне повідомлення про інцидент запізнювалося приблизно на 22 години.
.
Фахівці зазначають, що в 91% інцидентів рух коштів відбувався протягом перших 24 годин, а в одному випадку повний цикл відмивання – від початку атаки до кінцевої точки – зайняв лише 33,5 хвилини.
.Згідно зі звітом, був встановлений рекорд швидкості переказу викрадених коштів після злому кросчейн-моста: він склав 1 хвилину 13 секунд.
Аналітики підкреслили сильну залежність від міксера Tornado Cash, який був задіяний у 96% випадків, пов’язаних з перемішуванням транзакцій.
Найбільшу частку з вкрадених активів хакери відмили через DeFi-платформи. На них припало ~$1,48 млрд. Близько $959 млн зловмисники перенаправили через міксери та інші орієнтовані на анонімність сервіси, $490 млн – через кросчейн-мости.
Серед викрадених коштів деякі були повернуті, інші – назавжди втрачені:
- ~$619 млн хакери повернули;
- ~$401 млн заморозили або спалили;
- понад $334 млн залишаються невитраченими на момент написання звіту і перебувають у гаманцях, пов’язаних з атакуючими.
“З огляду на рівень відшкодування, що становить ~1,5%, і поділ потоків коштів по безлічі кінцевих точок, традиційні стратегії реагування після інцидентів виявилися неефективними“, – йдеться у звіті.
Правоохоронці знешкодили хмельницьку криптобанду
15 жовтня кіберполіція Хмельницької області повідомила про викриття групи осіб, яких підозрюють у незаконному заволодінні цифровими активами громадян України, країн Європи та Близького Сходу.
За даними правоохоронців, зловмисники створили криптовалюту і залучали інвесторів через тематичні спільноти в Telegram. Передбачувані шахраї демонстрували розкішний спосіб життя і “прибуткові торгові угоди”, спонукаючи жертв до інвестицій.
Після того як громадяни вкладали гроші в криптовалюту, її творці блокували доступ до управління набутими активами.
Підозрювані відмивали кошти через спеціалізовані анонімні сервіси та конвертували їх у готівку.
Правоохоронці встановили імена п’ятьох громадян України, які постраждали від дій шахраїв. У процесі обшуків Хмельницькому та Києві було вилучено техніку, апаратні криптогаманці, чорнові записи, що підтверджують злочинну діяльність, а також елітні автомобілі.
Затриманим загрожує до восьми років позбавлення волі. Розслідування триває.
США конфіскували біткоіни на $15 млрд у лідера камбоджійського угруповання
Згідно з прес-релізом від 14 жовтня, Мін’юст США вилучив 127 271 BTC на суму ~$15 млрд у глави Prince Group – Чень Чжі. Злочинна організація викрала мільярди доларів у жертв по всьому світу за допомогою підроблених інвестицій у криптовалюти, відомих як “шахрайство на довірі”.
Зазвичай злочинці, які стоять за подібними схемами, встановлюють контакт із жертвами через соціальні мережі та сайти знайомств, завойовують довіру, а потім переконують вкласти гроші у фіктивні інвестиційні проекти. Замість того, щоб інвестувати кошти, шахраї переводять їх на власні рахунки.
Згідно з оприлюдненими судовими документами, камбоджійське угруповання Prince Group з 2015 року керує понад 100 підставними та холдинговими компаніями в 30 країнах. Організація змушувала тисячі людей брати участь у шахрайських схемах і успішно ухилялася від правоохоронних органів.
Злочинці також керували автоматизованими кол-центрами, що використовували мільйони телефонних номерів.
Злочинці також керували автоматизованими кол-центрами, що використовували мільйони телефонних номерів.
“Prince Group реалізовувала свої схеми, займаючись торгівлею людьми і примушуючи сотні працівників виконувати шахрайські операції в таборах на території Камбоджі, найчастіше під загрозою насильства”, – йдеться у пресрелізі.
Такі комплекси включали величезні гуртожитки, оточені високими стінами та колючим дротом, і фактично функціонували як табори примусової праці.
Голова угруповання Чень Чжи, також відомий як Вінсент, досі перебуває на волі. Він особисто брав участь у підкупі чиновників, щоб уникнути втручання правоохоронців, керував таборами та застосовував насильство проти людей, які там перебували.
.Частину викрадених коштів злочинці витрачали на розкішні подорожі, елітні покупки і дороге майно – яхти, приватні літаки, вілли, а також картину Пікассо, придбану на аукціоні в Нью-Йорку.
Розширення для розробників стають небезпечнішими
Кіберзлочинець під ніком TigerJack постійно атакує розробників, публікуючи шкідливі розширення на маркетплейсі Microsoft Visual Code (VSCode) і в реєстрі OpenVSX, щоб красти цифрові активи та встановлювати бекдори. Про це повідомили дослідники з Koi Security.
Два розширення, видалені з VSCode після того, як їх завантажили 17 000 разів, досі доступні в OpenVSX. Ба більше, TigerJack повторно публікує той самий шкідливий код під новими іменами на маркетплейсі VSCode.
Два розширення, видалені з VSCode – C++ Playground і HTTP Format – були повторно представлені на платформі через нові акаунти.
При запуску C++ Playground реєструє слухач для файлів C++, щоб ексфільтрувати вихідний код на кілька зовнішніх кінцевих точок. Слухач спрацьовує приблизно через 500 мілісекунд після редагування, щоб захоплювати натискання клавіш майже в реальному часі.
За даними Koi Security, HTTP Format працює як заявлено, але таємно запускає у фоновому режимі майнер CoinIMP, використовуючи жорстко закодовані облікові дані та конфігурацію для майнінгу криптовалюти. Майнер, схоже, не реалізує жодних обмежень на використання ресурсів, задіюючи всю обчислювальну потужність для своєї діяльності.
Інша категорія шкідливих розширень від TigerJack витягує код JavaScript із жорстко закодованої адреси та виконує його на хості. Віддалена адреса опитується кожні 20 хвилин, що дає змогу виконувати довільний код без необхідності оновлення самого розширення.
Дослідники коментують, що, на відміну від стилера вихідного коду і криптомайнера, цей третій тип є набагато більш загрозливим, оскільки він має розширену функціональність:
“TigerJack може динамічно впроваджувати будь-яке шкідливе навантаження без оновлення розширення – красти облікові дані та ключі API, розгортати програми-вимагачі, використовувати скомпрометовані машини розробників як точки входу до корпоративних мереж, впроваджувати бекдори у ваші проєкти або відслідковувати вашу активність у реальному часі”.
.
На момент написання звіту адміністратори OpenVSX не зв’язалися з Koi Security. Два розширення залишаються доступними для скачування.
Також на ForkLog:
- Гошик зламаного пулу LuBian переказав 9757 BTC після трьох років “сплячки”.
- Супутниковий зв’язок виявився без шифрування – вчені перехопили військові дані.
Що почитати на вихідних?
“Авторське лево” – спосіб зберегти свободу ПЗ в епоху тотальної комерціалізації. Про його творця Річарда Столлмана читайте в новому матеріалі ForkLog.