03/11/2017

CryptoShuffler: trojan, który ukradł 140 tys. dolarów w bitcoinach

Zagrożenia

Wyobraź sobie, że pewnego dnia chcesz zapłacić za pizzę walutą bitcoin. Kopiujesz adres portfela ze strony pizzerii, wprowadzasz wymaganą kwotę i klikasz przycisk Wyślij. Przelew zostaje zrealizowany, ale pizza nie zostaje do Ciebie dowieziona. Właściciel pizzerii twierdzi, że nigdy nie otrzymał takiej płatności. Co się stało? Nie warto się na niego złościć — winny jest tu trojan CryptoShuffler.

Inaczej niż w przypadku kryptoransomware, trojan ten unika efektu WOW. Przeciwnie — robi, co tylko może, aby prześlizgnąć się poza zasięgiem radaru. Rezyduje po cichu w pamięci komputera i monitoruje schowek — pamięć tymczasową przeznaczoną dla operacji wycinania/wklejania.

Gdy CryptoShuffler zidentyfikuje w schowku adres portfela zawierającego kryptowalutę (adresy te można łatwo odróżnić po długości linii i znakach specjalnych), zastępuje go innym. W rezultacie przelew kryptowaluty rzeczywiście jest realizowany, w kwocie określonej przez osobę płacącą, lecz odbiorcą nie jest pizzeria, lecz osoby obce wykorzystujące zagrożenie CryptoShuffler.

Badając trojana, Kaspersky Lab wykrył, że szkodliwe oprogramowanie atakuje nie tylko walutę bitcoin, lecz także ethereum, zcash, monero, dash czy dogecoin (tak, ona istnieje). Zastępowanie portfeli bitcoinów jest najbardziej lukratywnym zajęciem tego trojana — na chwilę publikacji tego tekstu atakujący ukradli ponad 23 BTC (około 140 000 dolarów przy aktualnym kursie wymiany).

Wykryto również, że w innych portfelach zawierających kryptowaluty, które należały do autorów CryptoShufflera, znajdowało się od kilkudziesięciu do kilku tysięcy dolarów.

Zgromadzenie takiej kwoty zajęło trojanowi niewiele ponad rok. Szczytowa aktywność przypadła na końcówkę roku 2016 r., następnie cyberprzestępcy zaprzestali tej aktywności, aby ją wznowić w czerwcu 2017 roku.

Trojan ten udowodnił, że zainfekowany komputer lub smartfon niekoniecznie musi działać znacznie wolniej lub wyświetlać komunikat z żądaniem okupu. Wiele rodzajów szkodliwych programów próbuje działać potajemnie, ponieważ im dłużej pozostają niewykryte, tym więcej pieniędzy ukradną dla swoich autorów.

Zatem radzimy wszystkim użytkownikom kryptowalut, aby nie tracili czujności i pamiętali o ochronie. Nasze produkty wykrywają zagrożenie CryptoShuffler jako Trojan-Banker.Win32.CryptoShuffler.gen i oczywiście całkowicie je blokują.