Popularność kryptowalut dostrzeżona przez przestępców

Kryptowaluty wciąż zyskują na popularności. Użytkownicy nabywają wirtualne waluty ze względu na duży wzrost ich wartości oraz coraz większe możliwości wykorzystania ich do codziennych płatności dokonywanych w internecie. Popularność ta wiąże się jednak z coraz większym zainteresowaniem przestępców, którzy starają się wykorzystać je do swoich celów.

Zainfekowani lub nieświadomi użytkownicy kopią kryptowaluty dla przestępców

Założenia w oparciu o jakie działają poszczególne kryptowaluty, np. Bitcoin powodują, że za utrzymanie całej sieci odpowiadają ich użytkownicy. W odróżnieniu od standardowej bankowości nie ma głównego centrum rozliczeniowego transakcji. Zadanie utrzymania sieci przejmują tutaj użytkownicy, w zamian za określoną wartość danej kryptowaluty. Polega to na udostępnieniu mocy obliczeniowej swojego urządzenia do wykonywania złożonych obliczeń matematycznych, na których oparte są ktyptowaluty.

Cyberprzestępcy wykorzystują jednak moc obliczeniową innych użytkowników poprzez infekcję ich urządzeń złośliwym oprogramowaniem, bądź też przez zmodyfikowane strony internetowe. W obu przypadkach głównym objawem kopania kryptowalut jest znaczący spadek wydajności komputera, bądź telefonu.

Tak wygląda logowanie do panelu zarządzającego złośliwego oprogramowania kopiącego kryptowaluty

Wykorzystanie popularności kryptowalut do ataków na użytkowników systemu Android

Popularność kryptowalut spowodowała, iż w sklepie Google Play pojawiło się wiele nowych aplikacji, które monitorują kursy wirtualnych walut, oferują dokonywanie nimi płatności, bądź przechowują portfele. Wiele z tych aplikacji okazuje się przydatna dla posiadaczy Bitcoinów, Litecoinów, Etherum, czy innych krypotowalut.
W ostatnim czasie do oficjalnego Sklepu Google Play przedostały się jednak aplikacje, które tylko wykorzystywały popularność kryptowalut i w rzeczywistości były jedynie złośliwym oprogramowaniem.

Przykłady złośliwych aplikacji, które były dostępne w Sklepie Google Play

Po zainstalowaniu aplikacji na swoim telefonie użytkownik nie dość, że nie otrzymywał żadnej funkcjonalności, która była opisana przez autora w Sklepie Play, ale jeszcze narażał się na duże niebezpieczeństwo.
Aplikacje take jak, np. Crypto, Crypto Monitor, czy Crypto Navigator działały w tle i atakowały użytkowników bankowości mobilnych w systemie Android. Podczas uruchomienia dedykowanej aplikacji do systemu bankowości złośliwe oprogramowanie wyświetlało na ekranie telefonu fałszywe nakładki, które miały za zadanie przejąć dane logowania.

Przykładowe fałszywe nakładki wyświetlane nad oryginalnymi aplikacjami do bankowości mobilnych

W ostatnich atakach wykorzystujących złośliwą aplikację ze Sklepu Play przestępcy wzięli za cel nie tylko aplikacje do bankowości mobilnych, lecz także do obsługi portfeli kryptowalut.
Podczas, gdy na telefonie znajdowała się oryginalna aplikacja Blockchain Wallet i użytkownik zainfekowanego telefonu ją uruchomił, wyświetlane zostały fałszywe nakładki mające na celu przejąć dane logowania do portfela.

Fałszywe nakładki na aplikacji Blockchain Wallet

Złośliwe oprogramowanie podszywające się pod aplikacje związane z kryptowalutami były opisane na naszym blogu, zobacz więcej:
https://sirt.pl/zlosliwa-aplikacja-crypto-monitor/
https://sirt.pl/falszywa-aplikacja-w-googleplay/
https://sirt.pl/falszywa-aplikacja-crypto-navigator-dostepna-w-sklepie-google-play/

Kradzież oraz podmiana adresów portfeli kryptowalut

Znaczna wartość wirtualnych walut, a w szczególności Bitcoina spowodowała, iż przestępcy starają się wykraść całe portfele posiadaczom kryptowalut. Najczęściej wykorzystują do tego złośliwe oprogramowanie, którym infekują komputery. Podczas logowania do giełdy kryptowalut malware może przechwycić wprowadzane dane uwierzytelniające, a następnie po uzyskaniu dostępu do konta użytkownika przestępcy mogą ukraść wszystkie zgromadzone środki przesyłając je na swoje portfele.
Portfele zapisywane są na komputerze najczęściej pod nazwą wallet.dat. Pliki takie są celem kradzieży przez złośliwe oprogramowanie.

Plik portfela Bitcoin, który może zostać wykradziony przez malware

O złośliwym oprogramowaniu, które oprócz danych logowania do bankowości wykrada również zgodne z definicją pliki pisaliśmy już wcześniej:
https://sirt.pl/uwazaj-na-spam-od-romana-rozalskiego/

Innym sposobem kradzieży środków z portfeli użytkowników jest podmiana adresu portfelu. Dokonując płatności użytkownik może skopiować adres portfela, na który ma przesłać daną kwotę, a następnie złośliwe oprogramowanie działające w tle podmienia skopiowany adres na adres przestępcy. W takim przypadku całkiem nieświadomie możemy zasilić portfel przestępcy. Podmiana adresu jest natychmiastowa i tylko weryfikacja poprawności wklejonego adresu może uchronić nas przed utratą naszej wirtualnej waluty. Sposób ten wcześniej wykorzystywany był najczęściej do podmiany rachunków bankowych, lecz teraz przestępcy za cel obrali równiez adresy portfeli kryptowalut.

Podmiana adresu portfela Bitcoin przez malware podczas operacji kopiuj-wklej. Zauważ, że wklejany adres jest inny niż kopiowany

Phishing

Phishing, czyli fałszywe strony internetowe, wykorzystywane są do przejęcia danych logowania. Użytkownik podając swoje dane na stronie stworzonej przez przestępców naraża się na kradzież swojej tożsamości oraz danych logowania. Prowadzi to najczęściej do kradzieży środków pieniężnych z bankowości internetowych. Popularność giełd kryptowalut spowodował, iż pojawiły się również strony phishing ukierunkowane na nie.
Nieważne, czy logujemy się do bankowości, portalu społecznościowego, czy też giełdy kryptowalut zawsze należy sprawdzić adres strony.

Poniżej widoczny jest przykład fałszywej strony bittrex.com

Więcej o phishingu możesz dowiedzieć się z opracowanego przez nas whitepaper:
https://sirt.pl/whitepaper-phishing-falszywe-strony/

Podsumowanie

Popularność kryptowalut sprawiła, iż przestępcy dostrzegli możliwość zwiększania swoich środków zgromadzonych na anonimowych portfelach poprzez ataki na innych użytkowników. Za pomocą złośliwego oprogramowania kopią wirtualne waluty wykorzystując do tego bezprawnie moc obliczeniową komputerów innych użytkowników poprzez złośliwe oprogramowanie, czy też zmodyfikowane strony internetowe. Dodatkowo przestępcy wykorzystują aktualne trendy, jakimi niewątpliwie są kryptowaluty do infekowania telefonów z systemem Android i wykradania danych logowania do bankowości online. Wykradzione pieniądze z kont zainfekowanych użytkowników prawdopodobnie i tak zostaną szybko zamienione, np. na Bitcoiny. Złośliwe oprogramowanie, które kradnie całe portfele kryptowalut, czy też fałszywe strony logowania do giełd to kolejne pomysły przestępców, którzy nie dają za wygraną.