CoinLurker: Новое поколение инструментов, используемое в современных кибератаках

CoinLurker – это сложное и продвинутое вредоносное ПО для кражи данных, которое вывело кампании с фальшивыми обновлениями на новый уровень. Написанный на языке программирования Go, CoinLurker использует технологии скрытия кода и противодействия анализу, что позволяет ему оставаться незаметным и осуществлять скрытые кибератаки.

Согласно отчёту Morphisec, CoinLurker стал ключевым оружием киберпреступников для атаки на криптовалютные кошельки, конфиденциальные данные пользователей и финансовые приложения.

CoinLurker, как и предшествующие угрозы, использует фальшивые обновления и обманные уведомления для заражения устройств. Основные методы заражения:

  1. Фальшивые обновления программного обеспечения:
    Вредоносные веб-сайты предлагают пользователю загрузить «обновление», замаскированное под легальный патч.
  2. Malvertising (вредоносная реклама):
    Взломанные рекламные объявления перенаправляют пользователей на сайты с фальшивыми обновлениями.
  3. Фишинговые электронные письма:
    Ссылки в письмах ведут на поддельные страницы обновлений.
  4. Социальные сети:
    Опасные ссылки, распространяемые на платформах социальных сетей, направляют пользователей на ложные страницы подтверждений или обновлений.

CoinLurker использует продвинутые технологии, чтобы избегать обнаружения и наносить максимальный ущерб. Его ключевые методы включают:

  1. Технология EtherHiding:
    CoinLurker скрывает вредоносные загрузки в инфраструктуре блокчейна, что позволяет обойти механизмы обнаружения.
  2. Многоэтапный процесс доставки:
    • Binance Smart Contracts: Атакующие встраивают инструкции для вредоносного ПО в Binance Smart Contracts, используя децентрализованное хранилище блокчейна для защиты данных от изменений.
    • Серверы C2: Вредоносное ПО динамически загружает команды с серверов, находящихся под контролем атакующих, избегая статических индикаторов.
    • Bitbucket-репозитории: Сначала в них размещаются безопасные файлы, которые позже заменяются на вредоносные версии.
  3. Microsoft Edge WebView2:
    Этот компонент используется в качестве загрузчика и маскируется под легитимный инструмент обновления браузера, отвлекая внимание пользователей.
  4. Шифрование строк и выполнение в памяти:
    CoinLurker расшифровывает и запускает вредоносный код в оперативной памяти, оставляя минимальные следы на диске, что затрудняет его обнаружение.

CoinLurker нацелен на криптовалютные кошельки и финансовые приложения.

  • Он собирает информацию о системе с помощью команд systeminfo, ipconfig /all, и route print.
  • Собранные данные передаются на C2-серверы.
  • Заражённые файлы сохраняются в скрытых папках, загружая дополнительный вредоносный код.

Для эффективной защиты от CoinLurker необходимо соблюдать следующие меры безопасности:

  1. Обновляйте антивирусное ПО и системы защиты:
    Используйте современные антивирусы и регулярно устанавливайте обновления.
  2. Обучайте сотрудников:
    Проводите тренинги по распознаванию фишинговых писем и фальшивых обновлений.
  3. Мониторинг подозрительного трафика:
    Анализируйте сетевой трафик и используйте DNS-фильтрацию для блокировки известных вредоносных доменов.
  4. Используйте системы DLP:
    Инструменты для предотвращения утечки данных (DLP) помогут выявить несанкционированную передачу информации.

CoinLurker демонстрирует высокий уровень сложности современных кибератак, особенно против пользователей криптовалют. Способность скрывать вредоносные компоненты через блокчейн и динамически доставлять вредоносный код делает его серьёзной угрозой.

Организациям и пользователям необходимо быть бдительными и принимать проактивные меры, чтобы защититься от таких угроз. Важно повышать осведомлённость, регулярно обновлять системы и использовать надёжные механизмы защиты.