O cyberbezpieczeństwie, zwłaszcza w kontekście kryptowalut, nigdy za wiele. Hakerzy wymyślają coraz to nowsze i bardziej „inteligentne” sposoby na inwigilowanie naszych działań w sieci nakierowane na kradzież danych osobowych i dostępowych do serwisów internetowych, z których korzystamy na co dzień. W dark web pojawił się nowy rodzaj trojana – Saefko, który obrał sobie za cel m. in. miłośników kryptowalut.
Zscaler opublikował na swoim blogu post, w którym opisał wnioski z analizy działania nowego trojana Saefko, który jest obecnie dostępny w sprzedaży w dark web. Saefko napisany jest w .NET i ma wiele (nie) ciekawych funkcji. Trojan celuje między innymi w użytkowników kryptowalut.
RAT jako rodzaj złośliwego oprogramowania, które zawiera furtkę do zdalnego przejęcia kontroli nad zainfekowanym komputerem. Taki trojan jest zwykle pobierany automatycznie w wyniku otwarcia załącznika e-mail lub pobrania aplikacji lub gry, które zostały wcześniej zainfekowane.
Wirus może oczywiście przejąć kontrolę nad zainfekowanym komputerem. Pozwala „intruzowi” robić praktycznie wszystko. Wśród tych czynności można wymienić np. monitorowanie naciśnięć klawiszy użytkownika, aktywowanie mikrofonu / kamery internetowej komputera i formatowanie napędów.
Saefko – nowy Trojan głodny Twoich kryptowalut
Zespół ThreatLabZ ustalił, że po pomyślnym zainfekowaniu komputera docelowego Saefko wykonuje następujące czynności:
- działa w tle i wykonuje się przy każdym logowaniu użytkownika
- pobiera historię przeglądarki Chrome w poszukiwaniu określonych rodzajów działań, związanych z użyciem kart kredytowych, zainteresowań biznesem, korzystaniem z mediów społecznościowych, gier, kryptowalut i innych
- wysyła zgromadzone dane na serwer „dowodzenia i kontroli” (C&C) i prosi o dalsze instrukcje, w wyniku czego:
- gdy C&C poinstruuje go, by „dostarczył informacje o systemie”, zaczyna zbierać „zakres danych, w tym zrzuty ekranu, filmy, dzienniki naciśnięć klawiszy itp.”
RAT-y mogą ukraść wiele danych użytkownika bez jego świadomości i mogą rozprzestrzeniać się na inne systemy w sieci Internet.
Co wykazały testy Saefko?
Zespół ThreatLabZ postanowił w pełni zrozumieć możliwości Saefko, detonując go w piaskownicy chmurowej Zscaler.
Odkryli, że trojan ustala, czy zainfekowany komputer ma jakieś interesujące informacje, badając historię przeglądarki Chrome i szukając różnych stron internetowych w wielu kategoriach.
Lista działań, którymi się interesuje, obejmuje między innymi kryptowaluty. Wśród niepożądanych działań Saefko znajdują się te, związane z sprawdzaniem kryptowalutowych wiadomości i korzystaniem z giełd kryptowalut.
W raporcie znajduje się lista 72 stron internetowych skanowanych przez RAT w historii przeglądarki. Znalazły się wśród nich takie serwisy, jak coindesk.com, coinbase.com, binance.com, bitcointalk.org i bitbay.net.
RAT rejestruje liczbę witryn pasujących do pełnej listy stron internetowych. Atakujący może następnie wykorzystać te informacje, aby „ustalić, które systemy powinien atakować jako pierwsze ze wszystkich zainfekowanych systemów”.
Pamiętajcie, że trojany, takie jak Saefko, muszą najpierw zostać „zaproszone” do systemu przez użytkownika. Ryzyko zainfekowania można jednak zminimalizować. Wystarczy, że nie będziecie pobierać programów lub otwierania załączników, które nie pochodzą z zaufanego źródła.