• Sklep
  • Odbierz prezent
Torrenty mogą "ukraść" Twoje kryptowaluty!

Nie od dziś wiadomo, że pobieranie plików multimedialnych za pomocą torrentów wiąże się z pewnym ryzykiem dla bezpieczeństwa naszego komputera. Bardzo często pliki ściągane w ten sposób są zainfekowane złośliwym oprogramowaniem, które w najlepszym wypadku zainstalują na komputerze niechciane skrypty reklamowe lub cryptojackingowe, które będą kopać kryptowalutę Monero (XMR) z wykorzystaniem mocy obliczeniowej naszego procesora. Jak się jednak okazuje, w podobny sposób coraz częściej można natrafić na znacznie bardziej szkodliwe oprogramowanie, przez które możemy nawet stracić nasze kryptowaluty.

 

Jak dochodzi do ataku?

Na samym początku warto zaznaczyć, że niemal wszystkie dzisiejsze ataki opierają się na schemacie tzw. inżynierii społecznej, co sprawia że to nie sam wirus łamie zabezpieczenia komputera, lecz jego właściciel nieświadomie wyłącza je, torując drogę złośliwym skryptom. Jak to się dzieje?

Do ataku dochodzi po ściągnięciu zainfekowanego pliku za pomocą torrentów, z popularnych serwisów, takich jak np. The Pirate Bay. Pobrany plik najczęściej posiada niestandardowe dla plików multimedialnych rozszerzenie, np. .lnk lub .json, które powinno natychmiastowo wzbudzić podejrzenia użytkownika. Po otwarciu pliku uruchamiana jest seria komend, mających na celu uzyskanie praw administratora i wyłączenie oprogramowania antywirusowego (np. Windows Defender), a następnie dokonanie ataku. Samo pobranie zainfekowanego pliku i rozpakowanie go nie stanowi jeszcze zagrożenia - dopiero uruchomienie go i ewentualne wyrażenie zgody na przyznanie praw administratora jest równoznaczne z zainfekowaniem komputera. W przypadku pobierania oprogramowania z nielegalnych („pirackich”) źródeł, które posiada tzw. cracka, obchodzącego zabezpieczenia licencyjne producenta, programy antywirusowe bardzo często zgłaszają ostrzeżenie o zagrożeniu, które najcześciej jest ignorowane przez użytkownika. Jest to również wykorzystywane przez atakujących, którzy doskonale zdają sobie sprawę, że nieświadomy zagrożenia użytkownik najprawdopodobniej bez mrugnięcia okiem zignoruje komunikat programu antywirusowego o wykrytym niebezpieczeństwie.

Czytaj także: Ransomware popularniejszy niż cryptojacking? Cyberprzestępstwa z kryptowalutami coraz częstsze

Firma Malwarebytes, zajmująca się tworzeniem oprogramowania antywirusowego, opublikowała raport na temat cyberbezpieczeństwa i internetowych oszustw związanych z kryptowalutami. Raport dostrzega pewną zmianę tendencji wśród cyberprzestępców, wedle której bessa na rynku kryptowalut wpływa na zauważa.. Czytaj
Ransomware popularniejszy niż cryptojacking? Cyberprzestępstwa z kryptowalutami coraz częstsze

 

Jak przebiega atak?

Jednym z najpowszechniej wykorzystywanych typów szkodliwego oprogramowania jest tzw. Cozy Bear, który uruchamia złożone komendy PowerShell (działające na systemie operacyjnym Windows), mające na celu przeprowadzenie mniej lub bardziej złożonego ataku phishingowego. Po jego uruchomieniu i przyznaniu uprawnień administracyjnych, dochodzi do deaktywacji zapory antywirusowej Windows Defender, następnie zaś do nieuprawnionego zainstalowania wtyczek do przeglądarki internetowej Chrome lub Firefox, za pośrednictwem których dojdzie do ataków phishingowych na konkretnych stronach. W mniej agresywnych wariantach Cozy Bear „wstrzykuje” złośliwy skrypt na stronach internetowych, które odwiedzamy, podmieniając reklamy na takie, które generują zysk atakującego lub instalują skrypt cryptojackingowy, kopiący kryptowaluty naszym kosztem.

W opisywanym wariancie ataku, Cozy Bear jest bezpośrednio wymierzony w posiadaczy kryptowalut. Złośliwy skrypt ma możliwość dokonania tzw. spoofingu, czyli podmiany witryn internetowych na ich wizualne kopie, które mają na celu zebranie danych autoryzacyjnych ofiary, zarówno na portfelach webowych, takich jak np. MyEtherWallet, jak i giełdach kryptowalut, takich jak np. Poloniex, czy Binance.

Oprócz tego złośliwy skrypt może modyfikować kod JavaScript odwiedzanych witryn. Przykładowo, na stronie Wikipedii dodawany jest button informujący o możliwości finansowego wsparcia portalu za pomocą bitcoina (BTC). Jak nietrudno się domyślić, wygenerowany adres do wpłat należy do atakującego. Skrypt ma również możliwość wykrywania formatu adresów publicznych m.in. BTC i Ethereum (ETH) do donacji umieszczonych na stronach internetowych. Jeśli dojdzie do ich wykrycia, złośliwe oprogramowanie podmienia je na adresy należące do atakującego.

O ile drugi wariant nie jest wyjątkowo groźny, ze względu na zazwyczaj minimalne kwoty, wysyłane w formie donacji, o tyle podanie atakującemu danych autoryzacyjnych np. do portfela webowego może doprowadzić do znacznych strat swoich środków.

FXMAG kryptowaluty torrenty mogą "ukraść" twoje kryptowaluty! bittorrent phishing 1

Fałszywa zakładka wsparcia Wikipedii za pomocą BTC, „wstrzyknięta” przez złośliwy skrypt

 

Czytaj także: Jak ukraść bitcoiny (BTC) z giełdy, nie łamiąc jej zabezpieczeń?

Mówi się, że giełdy kryptowalut dzielą się na dwie kategorie: te, które padły ofiarą kradzieży oraz te, które dopiero zostaną zhackowane. Mimo, że zdanie to jest w oczywisty sposób przerysowane, zwraca uwagę na pewną istotną prawidłowość na rynku kryptowalut - giełdy nie są najbezpieczniejszym spos.. Czytaj
Jak ukraść bitcoiny (BTC) z giełdy, nie łamiąc jej zabezpieczeń?

 

Jak nie dać się okraść?

Być może dla niektórych zabrzmi to zbyt radykalnie, ale - po prostu nie pobierać plików za pomocą torrentów z nielegalnych źródeł. Pomijając kwestie etyczne, które każdy rozważa na własną rękę, wystarczy skupić się na kwestiach bezpieczeństwa -  może okazać się, że oszczędzając na subskrypcji serwisu streamingowego, na którym można obejrzeć nasz ulubiony serial, stracimy znacznie więcej, padając ofiarą złośliwego oprogramowania.

Optymalnym rozwiązaniem jest również posiadanie osobnego komputera, najlepiej z zainstalowanym Linuxem (zainstalowanie Ubuntu wbrew pozorom nie wymaga ukończenia studiów informatycznych i jest przyjemniejsze niż niejedna próba formatowania Windowsa), na którym nie korzystamy m.in. z plików pobranych z torrentów. Taki komputer może z powodzeniem służyć również do obsługi kont bankowych, maklerskich czy tradingowych. Używany laptop odpowiedni do takich celów można nabyć za mniej niż tysiąc PLN.

 

Zabrzmi rutynowo, jest to jednak istotne - należy mieć włączone oprogramowanie antywirusowe z aktualną bazą wirusów. Dobrym pomysłem jest również regularne aktualizowanie systemu operacyjnego.

 

Jeśli mamy wątpliwości czy dany plik jest bezpieczny, możemy wpisać jego pełna nazwę w wyszukiwarce (wraz z rozszerzeniem), a także sprawdzić go za pomocą serwisu VirusTotal.com, który sprawdzi go pod kątem obecności złośliwego oprogramowania. Jeśli wykryje zagrożenie, nie tylko nas o tym poinformuje, ale także opublikuje ostrzeżenie w ogólnodostępnej bazie danych, z której korzystają również programy antywirusowe, dzięki czemu sami możemy przyczynić się do zwiększenia bezpieczeństwa sieci.

 

Korzystać z portfeli sprzętowych, które zapewniają teoretyczne bezpieczeństwo nawet na zainfekowanym komputerze

Czytaj także: Uwaga na wirus atakujący klientów BitBay, banków i portfele kryptowalutowe!

Od początku czerwca ma miejsce zmasowany atak wirusów wysyłanych na skrzynki e-mailowe w postaci załączników do wiadomości, które mogą doprowadzić do utraty środków m.in. klientów giełdy kryptowalut BitBay, wybranych banków oraz posiadaczy niektórych software’owych portfeli kryptowalut.   Niebezp.. Czytaj
Uwaga na wirus atakujący klientów BitBay, banków i portfele kryptowalutowe!

 


Dariusz Dziduch

Project Manager FXMAG, prowadzący program satyryczno-edukacyjny "O kryptowalutach". Nietuzinkowy promotor technologii blockchain oraz walut cyfrowych. Zainteresowania rynkowe łączy z wiedzą z zakresu psychologii inwestowania.

Przejdź do artykułów autora
Zamknij

Koszyk