Η Check Point Research (CPR) το τμήμα έρευνας της Check Point Software εντόπισε μια παραλλαγή botnet που έχει κλέψει κρυπτονομίσματα αξίας σχεδόν μισού εκατομμυρίου δολαρίων μέσω μιας τεχνικής που ονομάζεται “crypto clipping“.
Η νέα παραλλαγή, που ονομάζεται Twizt, απόγονος του Phorpiex, κλέβει κρυπτονομίσματά κατά τη διάρκεια των συναλλαγών αντικαθιστώντας αυτόματα τη διεύθυνση του παραλήπτη με αυτή του δράστη.
Η CPR προειδοποιεί τους κατόχους κρυπτονομισμάτων να προσέχουν σε ποιον στέλνουν χρήματα, καθώς έχουν καταγραφεί 969 συναλλαγές υποκλοπής και η καταμέτρηση συνεχίζεται. Το Twizt μπορεί να λειτουργεί χωρίς ενεργούς διακομιστές C&C, το οποίο του επιτρέπει να παρακάμπτει τους μηχανισμούς ασφαλείας.
- Σε διάστημα 12 μηνών κλάπηκαν 3,64 Bitcoin, 55,87 Etherκαι 55.000 δολάρια σε ERC20 tokens.
- 26 ETH κλάπηκανσε μία περίπτωση
- Η πλειονότητα των θυμάτων κατοικεί στην Αιθιοπία, τη Νιγηρία και την Ινδία
Η Check Point Research (CPR) εντόπισε μια νέα παραλλαγή του Phorpiex, ενός botnet γνωστού για sextortion και crypto-jacking. Η νέα παραλλαγή, που ονομάζεται Twizt, λειτουργεί χωρίς ενεργούς διακομιστές διοίκησης και ελέγχου, πράγμα που σημαίνει ότι κάθε υπολογιστής που μολύνει μπορεί να διευρύνει το botnet. Η CPR εκτιμά ότι το Twizt έχει κλέψει κυπτονομίσματa αξίας σχεδόν μισού εκατομμυρίου δολαρίων. Τα νέα χαρακτηριστικά του Twizt οδήγησαν τη CPR να πιστεύει ότι το botnet μπορεί να γίνει ακόμη πιο σταθερό και, ως εκ τούτου, πιο επικίνδυνο.
Table of Contents
Πώς λειτουργεί το Twizt
Το Twizt αξιοποιεί μια τεχνική που ονομάζεται “cryptoclipping“, η οποία είναι η κλοπή κρυπτονομισμάτων κατά τη διάρκεια συναλλαγών μέσω της χρήσης κακόβουλου λογισμικού που αντικαθιστά αυτόματα τη διεύθυνση πορτοφολιού που προοριζόταν με τη διεύθυνση πορτοφολιού του δράστη. Αυτό έχει ως αποτέλεσμα τα ποσά να πηγαίνουν σε λάθος χέρια.
Τα Θύματα
Σε διάστημα ενός έτους, από τον Νοέμβριο του 2020 έως τον Νοέμβριο του 2021, τα Phorpiexbotsυπέκλεψαν 969 συναλλαγές, κλέβοντας 3,64 Bitcoin, 55,87 Etherκαι 55.000 δολάρια σε ERC20 tokens. Η αξία των κλοπιμαίων σε τρέχουσες τιμές είναι σχεδόν μισό εκατομμύριο δολάρια ΗΠΑ. Αρκετές φορές το Phorpiexκατάφερε να υποκλέψει μεγάλα ποσά συναλλαγών. Το μεγαλύτερο ήταν 26 ETHποσό για μια συναλλαγή Ethereum.
Γράφημα 1. Θύματα ανά χώρα
Σχόλιο: Alexander Chailytko, Cyber Security Research & Innovation Manager στην Check Point Software:
“Υπάρχουν τρεις βασικοί κίνδυνοι που ενέχει η νέα παραλλαγή του Phorpiex. Πρώτον, το Twizt χρησιμοποιεί το μοντέλο peer–to–peer και είναι σε θέση να λαμβάνει εντολές και ενημερώσεις από χιλιάδες άλλα μολυσμένα μηχανήματα. Ένα botnet peer–to–peer είναι πιο δύσκολο να καταστραφεί και να διακοπεί η λειτουργία του. Αυτό καθιστά το Twizt πιο σταθερό από τις προηγούμενες εκδόσεις των bot του Phorpiex.
Δεύτερον, όπως και οι παλιές εκδόσεις του Phorpiex, το Twizt είναι σε θέση να κλέβει κρυπτονομίσματα χωρίς καμία επικοινωνία με το C&C, επομένως, είναι ευκολότερο να παρακάμψει μηχανισμούς ασφαλείας, όπως firewalls, προκειμένου να κάνει ζημιά. Τρίτον, το Twiztυποστηρίζει περισσότερα από 30 διαφορετικά πορτοφόλια κρυπτονομισμάτων από διαφορετικά blockchains, συμπεριλαμβανομένων των σημαντικότερων, όπως Bitcoin, Ethereum, Dash, Monero.
Αυτό δημιουργεί ένα τεράστιο εύρος επίθεσης, και ουσιαστικά θα μπορούσε να επηρεαστεί οποιοσδήποτε χρησιμοποιεί κρυπτογράφηση. Προτρέπω έντονα όλους τους χρήστες κρυπτονομισμάτων να ελέγχουν διπλά τις διευθύνσεις πορτοφολιών που αντιγράφουν και επικολλούν, καθώς θα μπορούσαν εύκολα να στείλουν κατά λάθος τα κρυπτονομίσματά τους σε λάθος χέρια”.
Συμβουλές ασφαλείας
– Ελέγξτε τη διεύθυνση πορτοφολιού. Όταν οι χρήστες αντιγράφουν και επικολλούν μια διεύθυνση ενός cryptowallet, πρέπει να ελέγχουν πάντα δύο φορές ότι η αρχική και η επικολλημένη διεύθυνση είναι η ίδια.
– Δοκιμάστε τις συναλλαγές. Πριν από την αποστολή μεγάλων ποσών κρυπτονομισμάτων, χρειάζεται να γίνεται πρώτα μια δοκιμαστική συναλλαγή με ελάχιστο ποσό.
– Μείνετε ενημερωμένοι. Το λειτουργικό σύστημα πρέπει να είναι ενημερωμένο και να μην κατεβάζουν λογισμικό από μη επαληθευμένες πηγές.
– Παραλείψτε τις διαφημίσεις. Στην αναζήτηση για πορτοφόλια ή πλατφόρμες συναλλαγών και ανταλλαγών κρυπτονομισμάτων, πρέπει πάντα να επιλέγουν τον πρώτο ιστότοπο στην αναζήτησή και όχι τις διαφημίσεις. Αυτές μπορεί να είναι παραπλανητικές, καθώς η CPR έχει βρει πολλές διατιμήσεις στο google, που στόχο έχουν να αποσπάσουν χρηματικά ποσά.
– Παρατηρήστε τις διευθύνσεις URL. Πρέπει πάντα να ελέγχουν δυο φορές τις διευθύνσεις URL!