Společnost Kaspersky Lab podrobně analyzovala dva úspěšné útoky na stále populárnější kryptoměny. Zatímco první útočník vypustil do světa docela propracovaný těžící program, ale balík na tom asi nevydělal, druhý útočník si mohl přijít na stovky tisíc dolarů, a to až trapně jednoduchým způsobem.
DiscordiaMiner tajně těží Monero
První malware se jmenuje DiscordiaMiner a věnuje se tajné těžbě kryptoměny Monero na vašem počítači. Oběť tedy stáhne nevědomky zákeřný program, ten se usadí v systému, bude se automaticky spouštět po startu, všemožně maskovat a těžit.
DsicordiaMiner na Windows vytvoří hromadu složek, ve kterých se usadí a tváří se jako systémová komponenta. přitom se snaží těžit kryptoměnu Monero
Jenže těžba kryptoměn není luštění sudoku. I s výkonným domácím počítačem, v jehož nitru tepe Core i7, to nebude žádná hitparáda. Pokud by těžební program ke všemu běžel na plný výkon a 100% zatěžoval všechna jádra CPU, oběť by si toho musela dříve či později všimnout.
CryptoShuffler hledá peněženky kryptoměn ve schránce a nahradí je svou
Druhý malware je však mnohem zákeřnější, protože je ve své podstatě naprosto pitomý. Jmenuje se CryptoShuffler a podle Kaspersky Lab, která analyzovala bitcoinové transakce na peněžence útočníka, v ní bylo na sklonku října 23 BTC. To aktuálně činí přes 160 tisíc dolarů!
Přitom jediné, co program dělá, je monitoring systémové schránky. Oběti, které posílaly bitcoinové obnosy, si čísla peněženek kopírovaly do systémové schránky Windows, protože se jedná o dlouhý a složitý řetězec v podstatě náhodných znaků.
CryptoShuffler monitoruje schránku a pomocí regulárních výrazů nahradí čísla peněženek kryptoměn za vlastní
Jenže přesně na to čekal malware běžící po spuštění PC na pozadí. Neustále četl obsah schránky Windows, a když v ní objevil shluk znaků připomínající některou z peněženek hromady podporovaných kryptoměn, zaměnil ji za svoji. Heuréka!
Jakmile tedy oběti kamkoliv vložily zkopírovaný identifikátor peněženky, vypsal se ve skutečnosti identifikátor zloděje, čehož si jen málokdo všiml. Útočník si tak velmi rychle přišel na pohádkové jmění.
Identifikátory peněženek pro různé kryptoměny. Lze je rozlišit podle několika úvodních znaků.
Oba malwary už zachytávají antivirové programy, nicméně demonstrují, jak dnes také může vypadat virus. Nemusí zneužívat žádných skulinek operačního systému. Může to být vcelku běžný program, který pracuje se standardním API operačního systému. Nevšimnete si jej, protože se spouští pod názvem, který evokuje systémovou součást Windows. Přirozeně se nejmenuje TeďVámUkradnuVšechnyBitcoiny.exe.
Bitcoinové šílenství trvá a kryptoměny stále rostou:
