Описание вредоносного ПО

Как злоумышленники крадут криптовалюту через буфер обмена

Говорят, что новое — это хорошо забытое старое. Начиная с сентября 2022 года мы наблюдаем серию атак на пользователей криптовалют, в которых вредоносное ПО подменяет данные в буфере обмена. Мы писали об атаках с использованием похожих зловредов еще в 2017 году, и сегодня эта техника остается актуальной: на уровне операционной системы от нее практически невозможно защититься. Чтобы не стать жертвой подобной атаки, нужно быть всегда начеку и использовать надежное защитное решение, которое сможет обнаружить вредоносный код. Ну а пока такие атаки продолжаются, нелишним будет разобраться, как они работают и где именно кроется опасность.

Если кратко, в атаках используются вредоносные программы, которые отслеживают содержимое буфера обмена и заменяют его часть, когда определяет, что жертва скопировала адрес криптокошелька.

История атак

Злоумышленники научились подменять содержимое буфера обмена более 10 лет назад. Все началось с банковских троянцев, которые атаковали пользователей конкретных банков и подменяли номер счета жертвы, скопированный в буфер обмена. Так, в 2013 году группа CERT Polska опубликовала отчет, в котором предупреждала клиентов польских банков об этой угрозе. Однако для успешной атаки злоумышленникам нужно было определить конкретную среду онлайн-банкинга, которой пользуется жертва. Кроме того, чтобы перевод состоялся, остальные банковские реквизиты (например, SWIFT-код, филиал и т. д.) должны были соответствовать счету преступников. Переход на глобальные и независимые от провайдера технологии, такие как криптовалютные кошельки, значительно упростил злоумышленникам жизнь. К тому же, когда стоимость криптовалюты начала заметно расти, цифровые деньги стали выгодной целью. Именно тогда мы и обнаружили первые атаки на владельцев криптовалют с подменой содержимого буфера обмена. Преступники использовали одни и те же фрагменты вредоносного кода для создания разных зловредов. Наши решения детектируют несколько таких семейств с общим вердиктом — Generic.ClipBanker.

Чем опасны зловреды, подменяющие данные в буфере обмена?

Несмотря на всю простоту исполнения, атаки с подменой содержимого буфера обмена гораздо опаснее, чем может показаться на первый взгляд. Не только потому, что украденные деньги вряд ли получится вернуть, но и потому, что атаки происходят абсолютно незаметно для обычного пользователя. Только подумайте: для достижения цели большинству вредоносных программ нужен канал связи между их оператором и системой жертвы. Бэкдору нужен канал управления, шпионскому троянцу — канал для передачи украденных данных, криптомайнер тоже не может обойтись без сетевого подключения. Зловредов, которые существуют абсолютно автономно и не требуют подключения к интернету, очень мало, но они самые опасные. Это самовоспроизводящиеся зловреды вроде разрушительных вирусов и сетевых червей, программы-вымогатели, которые шифруют локальные файлы, и т. д. Несмотря на то что черви и вирусы не подключаются к командным серверам, они генерируют заметную сетевую активность либо повышают нагрузку на процессор или оперативную память. Не менее заметна и деятельность шифровальщиков. В свою очередь, клипперы — зловреды, подменяющие данные в буфере обмена, могут не выдавать себя годами: вы не заметите никакой сетевой активности или других признаков их присутствия в вашей системе, пока они не подменят адрес криптокошелька.

Еще один немаловажный фактор — возможность определить вредоносную нагрузку. Большинство зловредов можно обнаружить, сопоставив используемые IP-адреса, домены и ссылки с известными вредоносными инфраструктурами, или в момент автоматической активации вредоносной нагрузки. Клипперы не запускают вредоносную нагрузку, пока не будет выполнено внешнее условие — копирование данных определенного формата в буфер обмена. Это значительно снижает шансы обнаружить новое вредоносное ПО путем автоматического анализа в песочнице.

Установщики браузера Tor с троянцем внутри

Некоторые из последних модификаций клипперов распространяются под видом браузера Tor, который используется для доступа к теневому интернету через протокол Onion, или так называемую сеть Tor. Мы связываем это с блокировкой проекта Tor в России в конце 2021 года, о которой сообщила команда его разработчиков. По их словам, в 2021 году Россия была второй страной по числу пользователей браузера Tor: ежедневно через него подключались более 300 000 человек, что составляет 15% от общего числа пользователей Tor. Разработчики проекта призывали помочь российским пользователям и дальше использовать эту сеть в обход запрета. Их услышали создатели вредоносного ПО, которые начали распространять среди русскоязычных пользователей установщики браузера Tor с троянцем внутри. Первые образцы появились уже в декабре 2021 года, однако только с августа 2022-го российское интернет-пространство захлестнула массовая волна атак с использованием вредоносных файлов torbrowser_ru.exe. Зараженные установщики имитировали версии браузера Tor с расширенным языковым пакетом, включающим русский язык, что можно понять из названия файла.

Поддерживаемые языки в зараженном установщике

Поддерживаемые языки в зараженном установщике

Мы обнаружили сотни похожих установщиков, которые вели себя по одному и тому же сценарию.

Зараженный браузер Tor: извлечение и запуск вредоносной нагрузки

Зараженный браузер Tor: извлечение и запуск вредоносной нагрузки

Жертва скачивает зараженный файл torbrowser.exe со стороннего ресурса, и запускает его, полагая, что устанавливает браузер Tor. Вредоносный установщик представляет собой самораспаковывающийся RAR SFX-архив, не защищенный цифровой подписью. В архиве три файла:

  • оригинальный установщик torbrowser.exe с действительной цифровой подписью Tor Project;
  • инструмент командной строки с произвольным именем для распаковки архива;
  • защищенный случайным паролем архив RAR.

Чтобы не вызвать подозрений, SFX-архив запускает оригинальный установщик torbrowser.exe, а вместе с ним — инструмент для распаковки защищенного паролем RAR-архива. Пароль позволяет избежать обнаружения антивирусным решением с помощью статического сигнатурного анализа, но не предотвращает обнаружения в песочнице. Пароль и путь извлечения архива содержатся в троянизированном файле torbrowser.exe. Их можно узнать при помощи ручного анализа. Вредоносный файл внедряется в одну из подпапок директории AppData активного пользователя, запускает новый процесс и прописывает себя в автозагрузку. Для маскировки зловред использует значок популярного приложения, например uTorrent.

Троянец-клиппер

Установщик доставляет на устройство клиппер, который находится в пассивном режиме и ничем не выдает себя.

Для защиты вредоносной программы используется Enigma 4.0, что затрудняет анализ. Enigma — это программное средство для защиты коммерческих приложений. Авторы зловреда наверняка использовали взломанную версию без информации о лицензии. Однако из образца вредоносного ПО нам удалось извлечь серийный номер системного диска злоумышленников. Мы оставим его здесь на случай, если этот или другой экземпляр зловреда того же разработчика попадет в руки правоохранительных органов: 9061E43A.

Принцип работы этого зловреда довольно прост: он интегрируется в цепочку программ, допущенных к просмотру буфера обмена Windows, и получает уведомления о каждом изменении скопированных в него данных. Если буфер содержит текст, зловред проверяет его содержимое с помощью набора встроенных регулярных выражений. Если совпадения найдены, программа заменяет текст случайно выбранным адресом из заданного списка.

Шестнадцатеричный дамп извлеченных из зловреда данных с регулярными выражениями и ID кошелька злоумышленников

Шестнадцатеричный дамп извлеченных из зловреда данных с регулярными выражениями и ID кошелька злоумышленников

В этом образце мы обнаружили следующие регулярные выражения.

bc1[a-zA-HJ-NP-Z0-9]{35,99}($|\s) — Bitcoin
(^|\s)[3]{1}[a-km-zA-HJ-NP-Z1-9]{25,34}($|\s) — Litecoin/Bitcoin Legacy
(^|\s)D[5-9A-HJ-NP-U]{1}[1-9A-HJ-NP-Za-km-z]{32}($|\s) — Dogecoin
(^|\s)0x[A-Fa-f0-9]{40}($|\s) — ERC-20 (т. е. Ethereum, Tether, Ripple и др.)
(^|\s)[LM]{1}[a-km-zA-HJ-NP-Z1-9]{25,34}($|\s) — Litecoin Legacy
((^|\s)ltc1[a-zA-HJ-NP-Z0-9]{35,99}($|\s) — Litecoin
(^|\s)8[0-9A-B]{1}[1-9A-HJ-NP-Za-km-z]{93,117}($|\s) — Monero
(^|\s)4[0-9A-B]{1}[1-9A-HJ-NP-Za-km-z]{93,117}($|\s) — Monero

Каждый образец содержит тысячи возможных адресов биткойн-кошельков для замены. Внести их все в список запрещенных или отследить кражу становится довольно сложно. Однако у нас есть все эти адреса, и мы поделимся ими с исследователями киберугроз в приложении к этой статье.

Авторы зловреда оставили в нем возможность отключить его — для этого используется специальная комбинация клавиш (Ctrl+Alt+F10). При нажатии этих клавиш вредоносная программа отключает перехват данных буфера обмена и завершает свою работу. Вероятно, эта комбинация была нужна для того, чтобы отключать зловреда на этапе тестирования.

Цели атак

Из примерно 16 000 случаев обнаружения вредоносного установщика Tor большая часть была зарегистрирована в России и Восточной Европе. В целом эта угроза коснулась 52 стран по всему миру. По нашим данным, атаки затронули в первую очередь следующие 10 стран:

  • Россия
  • Украина
  • США
  • Германия
  • Узбекистан
  • Беларусь
  • Китай
  • Нидерланды
  • Великобритания
  • Франция

Число обнаружений вредоносного браузера Tor по всему миру (январь 2022 — февраль 2023) (скачать)

Стоит отметить, что мы видим лишь малую часть всей картины. Общее число заражений может быть в десятки раз выше.

Последствия

Для анализа последствий мы собрали сотни известных вредоносных образцов, сняли с них защиту Enigma и извлекли адреса, которыми зловреды подменяют данные пользователей. Мы изучили соответствующие блокчейны и вычислили, сколько криптовалюты было перечислено на эти кошельки. При этом мы исходили из того, что все суммы поступили от пострадавших пользователей. Так мы рассчитали общий объем убытков, причиненных одним-единственным разработчиком вредоносного ПО.

Количество украденной криптовалюты (конвертация в доллары США выполнена по курсу, действующему на момент написания статьи) (скачать)

Сервис Monero использует передовые технологии защиты приватности и анонимизирует данные о транзакциях. Поэтому нам не удалось получить информацию о переведенных суммах из публичного реестра, но мы уверены, что по сравнению с данными по Bitcoin эта сумма незначительная.

Мы также полагаем, что на самом деле пользователи понесли гораздо больше убытков, потому что мы исследовали только атаки вредоносных установщиков браузера Tor. В других кампаниях злоумышленники могли атаковать другие кошельки, использовать в качестве прикрытия другие программы и доставлять зловредов на устройство жертвы иным способом.

Как защитить криптокошелек от атаки

Основная ошибка большинства жертв этого зловреда — загрузка установщика Tor-браузера со стороннего ресурса. Нам не удалось найти сайт, с которого можно скачать этот файл. Скорее всего, он распространяется через торренты или другие загрузчики приложений. Установщики, скачанные с официального сайта Tor Project, не содержат признаков вредоносной нагрузки, а их подлинность подтверждается цифровой подписью. Загружайте программное обеспечение только из надежных, доверенных источников, чтобы оставаться в безопасности.

Даже если вы случайно скачаете вредоносный файл под видом безобидного, качественное защитное решение или сервис VirusTotal помогут обнаружить угрозу. Как бы зловред ни маскировался, рано или поздно его обнаружат — это лишь вопрос времени.

Вы можете сами проверить, не скрываются ли на вашем устройстве программы этого класса, используя Блокнот. Скопируйте следующий «адрес биткойн-кошелька» в Блокнот или наберите его самостоятельно: bc1heymalwarehowaboutyoureplacethisaddress.

Теперь нажмите Ctrl+C и Ctrl+V. Если адрес изменился, в вашей системе наверняка скрывается зловред, который меняет содержимое буфера обмена. Работать на таком устройстве опасно. Мы рекомендуем провести полную проверку системы с помощью защитного решения. Однако если вы хотите быть уверены в безопасности вашей системы, после заражения ее придется переустановить.

Подмена адреса биткойн-кошелька на зараженном устройстве

Подмена адреса биткойн-кошелька на зараженном устройстве

Оставайтесь в безопасности и не давайте мошенникам шансов добраться до своего криптокошелька.

Приложение (индикаторы компрометации)

Примеры инъекторов:

0251fd9c0cd98eb9d35768bb82b57590
036b054c9b4f4ab33da63865d69426ff
037c5bacac12ac4fec07652e25cd5f07
0533fc0c282dd534eb8e32c3ef07fba4
05cedc35de2c003f2b76fe38fa62faa5
0a14b25bff0758cdf7472ac3ac7e21a3
0b2ca1c5439fcac80cb7dd70895f41a6
0c4144a9403419f7b04f20be0a53d558
0d09d13cd019cbebf0d8bfff22bf6185
0d571a2c4ae69672a9692275e325b943

Примеры установщиков браузера Tor:

a7961c947cf360bbca2517ea4c80ee11
0be06631151bbe6528e4e2ad21452a17
a2b8c62fe1b2191485439dd2c2d9a7b5
53d35403fa4aa184d77a4e5d6f1eb060
ad9460e0a58f0c5638a23bb2a78d5ad7
cbb6f4a740078213abc45c27a2ab9d1c
eaf40e175c15c9c9ab3e170859bdef64
89c86c391bf3275790b465232c37ddf5
1ce04300e880fd12260be4d10705c34f
c137495da5456ec0689bbbcca1f9855e

Адреса биткойн-кошельков злоумышленников

Скачать список адресов в формате PDF

Как злоумышленники крадут криптовалюту через буфер обмена

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике