Topic: Осада Биткоин кошелька Electrum (Read 436 times)
Вот это тема я понимаю, а я думаю что этот электриум так часто обновляется уже надоел, сносить его по хорошему нужно и бед незнать.
Будьте внимательны!
Сейчас идет активная публикация фишинговых ссылок на Github в разделе Issues (Issues - это комментарии/предложения/обсуждение проблем).
Есть случаи и на Bitcointalk, через ПМ:
https://bitcointalksearch.org/topic/m.51079853
https://imgur.com/a/pm2ZyFG
Сейчас идет активная публикация фишинговых ссылок на Github в разделе Issues (Issues - это комментарии/предложения/обсуждение проблем).
Есть случаи и на Bitcointalk, через ПМ:
https://bitcointalksearch.org/topic/m.51079853
https://imgur.com/a/pm2ZyFG
Материал, вероятно, будет интересен тем, кто хочет разобраться, что произошло. Но главное знать не как это было (это можно и не знать), а как не попасться на эту удочку. Поэтому я еще раз процитирую, на мой взгляд, главную фразу в теме (ее можно не заметить в длинной простыне):
Этот совет трудно переоценить. Если всегда проверять подпись файла, то подобные фишинговые атаки навредить не смогут. Потратьте один раз немного времени, чтобы научиться, как правильно это делать. Этот навык просто необходим всем пользователям электрума (и не только).
Пытался прочитать всю статью ,так и не смог .Спасибо что выделили главный способ обезопасить себя .У самого електрум и раньше даже не парился .Теперь нужно будет почитать побольше про них про защиту . (от себя: перед установкой обязательно проверяйте PGP подпись инсталяшки или портативного кошелька, есть тема на форуме в Новички "PGP Подпись - Шифровка / Дешифровка сообщения", и куча информации в сети на эту тему)
Этот совет трудно переоценить. Если всегда проверять подпись файла, то подобные фишинговые атаки навредить не смогут. Потратьте один раз немного времени, чтобы научиться, как правильно это делать. Этот навык просто необходим всем пользователям электрума (и не только).
Материал, вероятно, будет интересен тем, кто хочет разобраться, что произошло. Но главное знать не как это было (это можно и не знать), а как не попасться на эту удочку. Поэтому я еще раз процитирую, на мой взгляд, главную фразу в теме (ее можно не заметить в длинной простыне):
Этот совет трудно переоценить. Если всегда проверять подпись файла, то подобные фишинговые атаки навредить не смогут. Потратьте один раз немного времени, чтобы научиться, как правильно это делать. Этот навык просто необходим всем пользователям электрума (и не только).
(от себя: перед установкой обязательно проверяйте PGP подпись инсталяшки или портативного кошелька, есть тема на форуме в Новички "PGP Подпись - Шифровка / Дешифровка сообщения", и куча информации в сети на эту тему)
Этот совет трудно переоценить. Если всегда проверять подпись файла, то подобные фишинговые атаки навредить не смогут. Потратьте один раз немного времени, чтобы научиться, как правильно это делать. Этот навык просто необходим всем пользователям электрума (и не только).
Два различных мошеннических проекта были активны на Github примерно с 21 по 27 декабря 2019 года.
WOW. Это чего, привет из будущего?
Исправлено.
Два различных мошеннических проекта были активны на Github примерно с 21 по 27 декабря 2019 года.
WOW. Это чего, привет из будущего?
Замечу что все к чему прикасается Microsoft - теряет качество, вот и очередь GitHub-а настала.
Два различных мошеннических проекта были активны на Github примерно с 21 по 27 декабря 2019 года.
WOW. Это чего, привет из будущего?
резерв
продолжение...
(IOCs) Известные показатели компрометации
Известные контрольные суммы SHA256 кошельков Electrum с вредоносом:
Поддельные Electrum домены:
Bitcoin адреса злоумышленников:
Мошеннические / вредоносные цифровые сертификаты (только для Windows)
Контрольная сумма набора эксплойтов RIG
Контрольная сумма вредоносного файла transactionservices.exe (кошелек Electrum)
IPs (хост и конфиги)
(IOCs) Известные показатели компрометации
Известные контрольные суммы SHA256 кошельков Electrum с вредоносом:
Code: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Поддельные Electrum домены:
Code:
btc-electrum[.]com
btcelectrum[.]org
downloadelectrum[.]com
downloadelectrum[.]org
eiectrum[.]net
electrum[.]bz
electrumapp[.]org
electrumapps[.]com
electrumbase[.]com
electrumbase[.]net
electrumbase[.]org
electrumbitcoin[.]org
electrumbtc[.]org
electrumbuild[.]com
electrumcircle[.]com
electrumclient[.]org
electrumcore[.]com
electrumcore[.]net
electrumdownload[.]com
electrumdownload[.]org
electrume[.]com
electrume[.]org
electrumfix[.]com
electrumget[.]com
electrumget[.]com
electrumhub[.]com
electrumnet[.]com
electrumofficial[.]com
electrumopen[.]org
electrumpgrade[.]com
electrumsafe[.]org
electrumsite[.]com
electrumsource[.]org
electrumstart[.]org
electrumtxn[.]com
electrumupdate[.]com
electrumupgrade[.]com
electrumupgrade[.]org
electrumware[.]com
electrumware[.]org
electrumweb[.]net
getelectrum[.]com
getelectrum[.]live
getelectrum[.]org
goelectrum[.]com
myelectrum[.]org
Bitcoin адреса злоумышленников:
Code:
bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q
bc1q92md7868uun8vplp9te0vaecmxyc5rrphdyvxg
bc1q7hsnpd794pap2hd3htn8hszdfk5hzgsj5md9lz
bc1ql0p2lrnnxkxnw52phyq8tjr7elsqtnncad6mfv
bc1qyjkcthq9whn3e8h9dd26gjr9kd8pxmqdgvajwv
bc1q9h36cyfnqcxjeuw629kwmnp5a7k5pky8l2kzww
bc1qvr93mxj5ep58wlchdducthe89hcmk3a4uqpw3c
bc1qcla39fm0q8ka8th8ttpq0yxla30r430m4hgu3x
14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5
3CrC4UitJqNqdkXY5XbJfCaGnbxHkKNqzL
31rTt8GePHv8LceXnujWqerUd81U29m857
1FmxAHft8trWjhRNvDsbjD8JNoSzDX8pfD
Мошеннические / вредоносные цифровые сертификаты (только для Windows)
Code:
Name: PRO SOFTS
Serial Number: 15 8F D7 D2 FB 6E 69 E7 75 AB EE 6E
Code:
Name: EIZ Ltd
Serial Number: 06 6A F7 6B 79 4F 63 79 3C C0 CA 33 78 6F 07 47
Контрольная сумма набора эксплойтов RIG
Code:
9296b210b782faecca8394b2bd7bf720ffa5c122b83c4ed462ba25d3e1b8ce9a
Контрольная сумма вредоносного файла transactionservices.exe (кошелек Electrum)
Code:
c3a7cf30428689a44328090b994ce593bbf2a68141fcbefb899dee4fec336198
IPs (хост и конфиги)
Code:
178.159.37[.]113
194.63.143[.]226
217.147.169[.]179
188.214.135[.]174
продолжение...
OP RETURN скрипт
И действительно, транзакция содержит некоторые закодированные данные, которые, скорее всего, хранятся как часть Multisig-транзакции:
Хотя точное назначение данных, хранящихся с использованием OP_RETURN, неизвестно, это не имеет большого значения, и мы все еще можем следить за движением BTC Вариант 2, чтобы узнать их пункт назначения:
Следующий по величине выход 1.96991794 из предыдущей транзакции обозначен идентификатором f5abb14ffc1d57494934d10a2114b2e4fc812b7e18f73d0f6202a995d2bea1be, который содержит 445 входов на общую сумму 100.02103004 BTC.
Эти 100 BTC затем перемещаются на 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s, известному адресу горячего кошелька Binance. Давайте кратко рассмотрим пункт назначения 36.38011271 BTC, о которых мы упомянули ранее. В целях краткости мы следуем аналогичным путям отслеживания средств, поскольку они разделены таким же образом, как и выше:
Как видим, 25,8 BTC отправляются на адрес «3MRqgoPe6vBNVEn9Fo85qK7zvaLb9e9T2x». Многие адреса, связанные с этим кошельком, каким-то образом связаны с SCAM-сайтами, так называемые "Биткоин-удвоители".
3FF1uZ5oEaSZYKCvGbywu39djsknrGeu96 – Continvest
3AxHFZ2ivJUBgveyNj1PQak6FsKBcLJ42N – Bitcoin Doubler
Поскольку маловероятно, что вы сможете просто удвоить любое количество отправленных вами биткойнов на какой-то адрес, скорее всего, что эти веб-сайты существуют для того, чтобы предлагать другую функцию, своеобразный Биткоин миксер / отмывание средств для преступников.
Контрмеры
Столкнувшись с такой широкомасштабной атакой на свою пользовательскую базу, разработчики Electrum решили использовать ту же самую уязвимость, чтобы отобразить законное уведомление об обновлении. Однако этого было недостаточно чтобы остановить злоумышленников, поэтому позже Electrum решил провести атаки типа «отказ в обслуживании» против своих собственных пользователей, чтобы они не могли подключаться к мошенническим узлам.
https://twitter.com/ElectrumWallet/status/1106479573917724672
Злоумышленники начали атаку при помощи ботнета
https://twitter.com/ElectrumWallet/status/1116063328927985664
Список атакующих IP-адресов (состоящий из 72977 на момент написания) и постоянно обновляется. Это число почти утроилось в течение недели, подтверждая, что атаки растут чрезвычайно быстрыми темпами.
Список IP-адресов атакующих серверов Electrum. Обновляется каждые несколько минут.
Вредоносные программы, стоящие за ботнетом и DDoS-атаками
Несмотря на то, что точный размер ботнета не известен, мы смогли узнать больше о том, как пополняются ряды сети ботнет. Мы столкнулись с вредоносным программным обеспечением и двумя различными способами заражения. Первый способ через бэкдор Smoke Loader, а второй через набор эксплойтов RIG.
Во втором случае вредоносная реклама перенаправляла на набор эксплойтов RIG и в конечном счете, предлагала загрузчик, который выглядел как майнер, но на самом деле представляет собой вредоносное ПО, превращающее зараженные компьютеры в отдельных ботов для атак на серверы Electrum.
Мы видим, как загрузчик собирает список узлов Electrum для атаки с использованием нескольких общедоступных адресов кошелька. Каждая зараженная машина начнет атаку на официальные/законные ноды Electrum.
Он загружает большой файл (> 40 МБ), который представляет собой скомпилированный Python-код (transactionservices.exe) для кошелька Electrum, и записывает его на диск.
Он также добавляет подпроцесс transactionserviceshelper.exe в автозагрузку, путем добавления записей в реестр Windows.
А так выглядит папка с вредоносным приложением Electrum
DDos атаки на серверы ElectrumX
Эта атака заключается в отправке большого количества SYN-запросов на подключение по протоколу TCP в достаточно короткий срок на серверы ElectrumX через порт 50002 или 50001, как видно из следующего захвата трафика:
SYN-флуд — одна из разновидностей сетевых атак типа "отказ от обслуживания"
Мы также заметили другой тип пакетов TCP spurious retransmission. (Spurious retransmission – это повторная передача тех данных, прием которых получатель уже подтвердил.)
IP-адрес лабораторного компьютера, который мы использовали для детонации (запуска и теста) вредоносного ПО, попал в черный список в том же обновленном списке клиентов, которые атакуют серверы Electrumx, упомянутые выше, что подтверждает наше временное присутствие в этом ботнете.
Будущие атаки
Любой, кто следит за развитием криптовалюты, знает, что их ждет "веселая поездочка". Злоумышленники использовали уязвимость в самом популярном биткоин кошельке, чтобы создать ловкую фишинговую атаку, которая за несколько месяцев принесла им более 3 миллионов долларов США. Другие преступники возьмут это на заметку.
Когда Electrum ответил на атаку, чтобы уменьшить количество жертв от этой кражи, преступники ответили продолжительными DDoS атаками. Скорее всего, между двумя сторонами была некоторая вражда, но, поскольку ботнет продолжает отключать законные узлы Electrum, у мошенников есть возможность продолжить порочный цикл, предлагая поддельные обновления и пополнять ряды жертв своих махинаций.
Люди использующие собственные Electrum серверы могут противостоять DDoS атакам различными способами. Они могут настроить планировщик cron для систематичного обновления и блокировки атакующих IP-адресов. Они также могут создать правила в iptables для ограничения скорости попыток подключения к известным портам, которые подвергаются атаке. (по всей видимости имеется ввиду Fail2ban).
Пользователям кошелька Electrum необходимо обновить программное обеспечение до последней версии (3.3.4 (на момент публикации)) из официального репозитория (ссылки удалил) и быть особенно осторожными с обновлениями или другими сообщениями.
Malwarebytes обнаруживает вредоносные кошельки для Mac OS X как OSX.ElectrumStealer и Electrum.Stealer для Windows.
(от себя: перед установкой обязательно проверяйте PGP подпись инсталяшки или портативного кошелька, есть тема на форуме в Новички "PGP Подпись - Шифровка / Дешифровка сообщения", и куча информации в сети на эту тему)
OP RETURN скрипт
И действительно, транзакция содержит некоторые закодированные данные, которые, скорее всего, хранятся как часть Multisig-транзакции:
Хотя точное назначение данных, хранящихся с использованием OP_RETURN, неизвестно, это не имеет большого значения, и мы все еще можем следить за движением BTC Вариант 2, чтобы узнать их пункт назначения:
Следующий по величине выход 1.96991794 из предыдущей транзакции обозначен идентификатором f5abb14ffc1d57494934d10a2114b2e4fc812b7e18f73d0f6202a995d2bea1be, который содержит 445 входов на общую сумму 100.02103004 BTC.
Эти 100 BTC затем перемещаются на 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s, известному адресу горячего кошелька Binance. Давайте кратко рассмотрим пункт назначения 36.38011271 BTC, о которых мы упомянули ранее. В целях краткости мы следуем аналогичным путям отслеживания средств, поскольку они разделены таким же образом, как и выше:
Как видим, 25,8 BTC отправляются на адрес «3MRqgoPe6vBNVEn9Fo85qK7zvaLb9e9T2x». Многие адреса, связанные с этим кошельком, каким-то образом связаны с SCAM-сайтами, так называемые "Биткоин-удвоители".
3FF1uZ5oEaSZYKCvGbywu39djsknrGeu96 – Continvest
3AxHFZ2ivJUBgveyNj1PQak6FsKBcLJ42N – Bitcoin Doubler
Поскольку маловероятно, что вы сможете просто удвоить любое количество отправленных вами биткойнов на какой-то адрес, скорее всего, что эти веб-сайты существуют для того, чтобы предлагать другую функцию, своеобразный Биткоин миксер / отмывание средств для преступников.
Контрмеры
Столкнувшись с такой широкомасштабной атакой на свою пользовательскую базу, разработчики Electrum решили использовать ту же самую уязвимость, чтобы отобразить законное уведомление об обновлении. Однако этого было недостаточно чтобы остановить злоумышленников, поэтому позже Electrum решил провести атаки типа «отказ в обслуживании» против своих собственных пользователей, чтобы они не могли подключаться к мошенническим узлам.
https://twitter.com/ElectrumWallet/status/1106479573917724672
Злоумышленники начали атаку при помощи ботнета
https://twitter.com/ElectrumWallet/status/1116063328927985664
Список атакующих IP-адресов (состоящий из 72977 на момент написания) и постоянно обновляется. Это число почти утроилось в течение недели, подтверждая, что атаки растут чрезвычайно быстрыми темпами.
Список IP-адресов атакующих серверов Electrum. Обновляется каждые несколько минут.
Вредоносные программы, стоящие за ботнетом и DDoS-атаками
Несмотря на то, что точный размер ботнета не известен, мы смогли узнать больше о том, как пополняются ряды сети ботнет. Мы столкнулись с вредоносным программным обеспечением и двумя различными способами заражения. Первый способ через бэкдор Smoke Loader, а второй через набор эксплойтов RIG.
Во втором случае вредоносная реклама перенаправляла на набор эксплойтов RIG и в конечном счете, предлагала загрузчик, который выглядел как майнер, но на самом деле представляет собой вредоносное ПО, превращающее зараженные компьютеры в отдельных ботов для атак на серверы Electrum.
Мы видим, как загрузчик собирает список узлов Electrum для атаки с использованием нескольких общедоступных адресов кошелька. Каждая зараженная машина начнет атаку на официальные/законные ноды Electrum.
Анализ этого загрузчика подтверждает активность сети, которую мы наблюдали выше:
Он загружает большой файл (> 40 МБ), который представляет собой скомпилированный Python-код (transactionservices.exe) для кошелька Electrum, и записывает его на диск.
Он также добавляет подпроцесс transactionserviceshelper.exe в автозагрузку, путем добавления записей в реестр Windows.
А так выглядит папка с вредоносным приложением Electrum
DDos атаки на серверы ElectrumX
Эта атака заключается в отправке большого количества SYN-запросов на подключение по протоколу TCP в достаточно короткий срок на серверы ElectrumX через порт 50002 или 50001, как видно из следующего захвата трафика:
SYN-флуд — одна из разновидностей сетевых атак типа "отказ от обслуживания"
Мы также заметили другой тип пакетов TCP spurious retransmission. (Spurious retransmission – это повторная передача тех данных, прием которых получатель уже подтвердил.)
IP-адрес лабораторного компьютера, который мы использовали для детонации (запуска и теста) вредоносного ПО, попал в черный список в том же обновленном списке клиентов, которые атакуют серверы Electrumx, упомянутые выше, что подтверждает наше временное присутствие в этом ботнете.
Диаграмма показывающая распределение большинства жертв, участвующих в DDoS.
Будущие атаки
Любой, кто следит за развитием криптовалюты, знает, что их ждет "веселая поездочка". Злоумышленники использовали уязвимость в самом популярном биткоин кошельке, чтобы создать ловкую фишинговую атаку, которая за несколько месяцев принесла им более 3 миллионов долларов США. Другие преступники возьмут это на заметку.
Когда Electrum ответил на атаку, чтобы уменьшить количество жертв от этой кражи, преступники ответили продолжительными DDoS атаками. Скорее всего, между двумя сторонами была некоторая вражда, но, поскольку ботнет продолжает отключать законные узлы Electrum, у мошенников есть возможность продолжить порочный цикл, предлагая поддельные обновления и пополнять ряды жертв своих махинаций.
Люди использующие собственные Electrum серверы могут противостоять DDoS атакам различными способами. Они могут настроить планировщик cron для систематичного обновления и блокировки атакующих IP-адресов. Они также могут создать правила в iptables для ограничения скорости попыток подключения к известным портам, которые подвергаются атаке. (по всей видимости имеется ввиду Fail2ban).
Пользователям кошелька Electrum необходимо обновить программное обеспечение до последней версии (3.3.4 (на момент публикации)) из официального репозитория (ссылки удалил) и быть особенно осторожными с обновлениями или другими сообщениями.
Malwarebytes обнаруживает вредоносные кошельки для Mac OS X как OSX.ElectrumStealer и Electrum.Stealer для Windows.
(от себя: перед установкой обязательно проверяйте PGP подпись инсталяшки или портативного кошелька, есть тема на форуме в Новички "PGP Подпись - Шифровка / Дешифровка сообщения", и куча информации в сети на эту тему)
Все помнят недавнюю атаку на Electrum и её последствия. Известный производитель антивирусного ПО компания Malwarebytes, провела расследование и опубликовала обширный отчет.
Сделал перевод и некоторую адаптацию. Букв много, но кому интересно - приобщайтесь!
Источник: https://blog.malwarebytes.com/cybercrime/2019/04/electrum-bitcoin-wallets-under-siege/
By Adam Thomas, with additional contributions from Jérôme Segura, Vasilios Hioueras and S!Ri
Сделал перевод и некоторую адаптацию. Букв много, но кому интересно - приобщайтесь!
Источник: https://blog.malwarebytes.com/cybercrime/2019/04/electrum-bitcoin-wallets-under-siege/
By Adam Thomas, with additional contributions from Jérôme Segura, Vasilios Hioueras and S!Ri
Осада Биткоин кошелька Electrum
С конца декабря 2018 года многие пользователи популярного кошелька Electrum Bitcoin стали жертвами серии фишинговых атак, в результате которых, по нашим оценкам, были похищены более чем 771 биткойна, что составляет сумму, эквивалентную приблизительно 4 миллионам долларов США по текущему обменному курсу.
Используя уязвимость в программном обеспечении Electrum, злоумышленникам удалось обмануть пользователей, убедив их загрузить и установить вредоносную версию кошелька. В результате, в феврале разработчики Electrum решили использовать тот же недостаток в своем программном обеспечении, чтобы перенаправить пользователей для загрузки последней исправленной версии программы. Программное обеспечение было в такой беде, что в марте разработчики начали использовать еще одну неизвестную публике уязвимость, по сути заставить пользователей обновить программу и тем самым предотвратить появление фишинговых сообщений, чтобы они не подключались к вредоносным узлам.
Вскоре после этого ботнет начал распределенные атаки типа «отказ в обслуживании» (DDoS) на серверы Electrum, это было, как считается, ответным ударом за то, что разработчики пытались исправить баг. Сценарий был прост, при помощи DDoS загрузить легитимные ноды так, чтобы клиентам с все еще не обновленной версией программы приходилось подключаться к вредоносным узлам.
В этой статье мы расскажем о фишинг-схеме, используемой для распространения вредоносного обновления Electrum, обсудим, куда ушли украденные средства, и, наконец, рассмотрим заражение вредоносным ПО, непосредственно связанное с ботнетом и DDoS.
Electrum wallet 101
Для лучшего понимания того, как эти атаки стали возможными и настолько успешными, полезно иметь общее представление о том, как функционирует кошелек Electrum.
Известный как «облегченный» биткойн-кошелек, Electrum реализует разновидность методики, описанной Satoshi Nakamoto’s в белой книги Биткоина (в оригинале ссылка ведет на сайт с доменом .com, правильная ссылка - https://bitcoin.org/bitcoin.pdf) под названием «Упрощенная проверка платежей» (SPV). SPV позволяет пользователю отправлять и получать транзакции, не загружая весь блокчейн биткоина (размер которого составляет сотни гигабайт).
Вместо этого Electrum работает в конфигурации клиент/сервер. Кошелек (клиент) по умолчанию запрограммирован для подключения к сети одноранговых узлов (сервер), чтобы убедиться, что транзакции действительны.
Хотя исторически это был довольно безопасный метод ведения транзакций, злоумышленники воспользовались тем, что публичную ноду Electrum может запустить абсолютно любой человек. Как показано ниже, произошло значительное увеличение числа активных пиров в сети Electrum:
Поддельное уведомление об обновлении кошелька Electrum
26 декабря 2018 года разработчик Electrum опубликовал публичное предупреждение на официальной странице GitHub, предоставив некоторую информацию об атаке:
https://github.com/spesmilo/electrum/issues/4968#issue-394260722
Quote
To users: when you broadcast a transaction, servers can tell you about errors with the transaction. In Electrum versions before 3.3.3, this error is arbitrary text, and what’s worse, it is HTML/rich text (as that is the Qt default). So the server you are connected to can try to trick you by telling you to install malware (disguised as an update). You should update Electrum from the official website so that servers can no longer do this to you. If you see these messages/popups, just make sure you don’t follow them and that you don’t install what they tell you to install. The messages are just messages, they cannot hurt you by themselves.
В основном была использована Sybil attack (Атака Сивиллы) - вид атаки в одноранговой сети, в результате которой жертва подключается только к узлам, контролируемым злоумышленником.
Легитимное приложение кошелька Electrum, показывающее вредоносные узлы
Если пользователь подключался к вредоносному узлу (с высокой вероятностью) и пытался отправить транзакцию через него, то, благодаря уязвимости в Electrum позволяющей принимать и отображать HTML/rich текст, получал фальшивое уведомление об невозможности транзакции и необходимости обновления:
Фишинговый код внедряется в приложение Electrum при попытке отправить биткойны
На втором этапе атаки пользователь устанавливает вредоносную версию кошелька Electrum. Два различных мошеннических проекта были активны на Github примерно с 21 по 27 декабря 2018 года.
Quote
Репозиторий вредоносных приложений Electrum
hxxps://github.com/electrum-project/electrum/releases/tag/3.4.1
hxxps://github.com/electrum-wallet/electrum/releases
hxxps://github.com/electrum-project/electrum/releases/tag/3.4.1
hxxps://github.com/electrum-wallet/electrum/releases
Репозиторий вредоносных приложений Electrum
Вредоносные кошельки Electrum
В практических целях мы будем называть следующие вредоносные программы Вариант 1 и Вариант 2, однако дальнейшие исследования показали, что участники этой конкретной кампании действуют уже довольно давно. Таким образом, представляется вероятным, что до 21 декабря 2018 года существовали другие разновидности этой вредоносной программы. Варианты 1 и 2, по-видимому, эксплуатировались различными участниками, основываясь на нескольких различиях в вредоносной программе.
Вариант 1
Вариант 1 уникален тем, что авторы вредоносной программы реализовали функцию загрузки украденных приватных ключей кошелька и SEED данных на удаленный сервер. Были предприняты дополнительные меры для обеспечения того, чтобы эта функция оставалась скрытой, при помощи обфускации (запутывание кода) исходного кода внутри файла под названием (initmodules.py) которого обычно нет в стандартной, легитимной программе Electrum.
Мошеннический модуль, ответственный за эксфильтрацию данных
Как уже упоминалось, внедренные вредоносные домены не видны в приведенном выше коде и вместо этого создаются во время запуска вредоносного программного обеспечения. Эта техника используется злоумышленниками для того, чтобы код, содержащийся в файле initmodules.py, казался легитимным.
В дополнение к краже данных кошелька, любой баланс, присутствующий в кошельке, отправлялся на один из нескольких заранее запрограммированных публичных адресов под контролем злоумышленников. Выбранный адрес зависит от формата адреса, используемого кошельком Electrum зараженного пользователя.
Pay-to-PubkeyHash (P2PKH) используются по умолчанию во время установки программы и является основной формой совершения транзакции и наиболее распространенным методом в сети Bitcoin которая используется обычным пользователем. Это становится очевидно при просмотре активности каждого адреса.
Quote
14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5 (P2PKH address type)
Total Received: 202.91141530 BTC ~ 776,243.23 USD
bc1q9h36cyfnqcxjeuw629kwmnp5a7k5pky8l2kzww
Total Received: 0.01927492 BTC ~ 73.75 USD
1rTt8GePHv8LceXnujWqerUd81U29m857
Total Received: 0 BTC
3CrC4UitJqNqdkXY5XbJfCaGnbxHkKNqzL
Total Received: 15.22210788 BTC ~ 58,239.77 USD
1FmxAHft8trWjhRNvDsbjD8JNoSzDX8pfD
Total Received: 0 BTC
Total Received: 202.91141530 BTC ~ 776,243.23 USD
bc1q9h36cyfnqcxjeuw629kwmnp5a7k5pky8l2kzww
Total Received: 0.01927492 BTC ~ 73.75 USD
1rTt8GePHv8LceXnujWqerUd81U29m857
Total Received: 0 BTC
3CrC4UitJqNqdkXY5XbJfCaGnbxHkKNqzL
Total Received: 15.22210788 BTC ~ 58,239.77 USD
1FmxAHft8trWjhRNvDsbjD8JNoSzDX8pfD
Total Received: 0 BTC
Вариант 1 - общая сумма в биткоинах: 218.1527981 BTC
Вариант 1 - общая сумма в USD: ~$1,101,034.00
Образец того, в каком формате отправлялись приватные ключи (xprv) на вредоносный сервер используя HTTP POST
Образец того, в каком формате отправлялись SEED фразы на вредоносный сервер используя HTTP POST
Все вредоносные домены, обнаруженные во время нашего анализа Варианта 1, были созданы одновременно и связанны с IP-адресом 31.31.196.86. Этот адрес принадлежит Reg.ru, хостинговой компании, базирующейся в Москве, Россия. Вариант 1 также уникален тем, что установочные файлы Windows имели цифровую подпись, в отличии от последующих вариантов.
Вредоносное приложение с использованием цифрового сертификата
Интересно, что цифровой сертификат, используемый для подписи одного из вредоносных файлов Windows Electrum (EIZ Ltd), недавно использовался для подписания другого, несвязанного с этой атакой вредоносного ПО.
Вариант 2
Поскольку Вариант 1 был настолько успешным в краже значительных сумм Биткойна, казалось почти неизбежным, что вскоре будут еще попытки заработать на этой достаточно простой схеме. И конечно же, появился второй вариант вредоносных кошельков Electrum. Этот вариант атаковал довольно агрессивно, обгоняя сеть Electrum и приводя к краже большего количества биткойнов, чем Вариант 1.
Вместо перенаправления жертв на вредоносный Github сайт, Вариант 2 размещал вредоносные ссылки на загрузку в домене который был аналогом официального сайта Electrum. Содержимое HTML по сути являлось зеркальным копией оф.сайта Electrum.
Поддельный сайт, копия официального
Похоже на то, что злоумышленники очень хорошо разбираются в коде Electrum. К примеру, в поддельной версии ПО, они отключили автоматическое обновление, удалили запросы на подтверждения, такие как «Да, я уверен», и даже отключили возможность RBF (замена существующей транзакции новой транзакцией с повышением комиссии).
Содержимое main_window.py
Replace-by-Fee - это функция, которая была добавлена в кодовую базу биткойнов позже в процессе разработки, которая позволила бы пользователям по существу создавать Двойную трату (Double spending) в Electrum. В этом случае, если вы знали об этой функции, то могли бы отменить перевод украденных средств, используя более высокую комиссию.
Функция Replace-by-Fee в файле screens.py закомментирована (это исключает часть кода из компиляции)
Ниже приведен модифицированный исходный код файла paytoedit.pyc, который был использован для перенаправления платежей на биткойн-адрес злоумышленника:
Биткоин адрес для получения украденных средств
Quote
bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q
Total received: 187.8298 BTC / 941,436 USD
bc1q92md7868uun8vplp9te0vaecmxyc5rrphdyvxg
Total received: 55.9948 BTC / 201,326 USD
bc1q7hsnpd794pap2hd3htn8hszdfk5hzgsj5md9lz
Total received: 36.7358 BTC / 126,972 USD
bc1ql0p2lrnnxkxnw52phyq8tjr7elsqtnncad6mfv
Total received: 75.2927 BTC / 291,342 USD
bc1qyjkcthq9whn3e8h9dd26gjr9kd8pxmqdgvajwv
Total received: 21.8628 BTC / 84,678 USD
bc1qvr93mxj5ep58wlchdducthe89hcmk3a4uqpw3c
Total received: 27.3636 BTC / 138,733 USD
bc1qcla39fm0q8ka8th8ttpq0yxla30r430m4hgu3x
Total received: 232.6469 BTC / 1,166,068 USD
Total received: 187.8298 BTC / 941,436 USD
bc1q92md7868uun8vplp9te0vaecmxyc5rrphdyvxg
Total received: 55.9948 BTC / 201,326 USD
bc1q7hsnpd794pap2hd3htn8hszdfk5hzgsj5md9lz
Total received: 36.7358 BTC / 126,972 USD
bc1ql0p2lrnnxkxnw52phyq8tjr7elsqtnncad6mfv
Total received: 75.2927 BTC / 291,342 USD
bc1qyjkcthq9whn3e8h9dd26gjr9kd8pxmqdgvajwv
Total received: 21.8628 BTC / 84,678 USD
bc1qvr93mxj5ep58wlchdducthe89hcmk3a4uqpw3c
Total received: 27.3636 BTC / 138,733 USD
bc1qcla39fm0q8ka8th8ttpq0yxla30r430m4hgu3x
Total received: 232.6469 BTC / 1,166,068 USD
Вариант 2 - общая сумма в биткоинах: 637.7264 BTC
Вариант 2 - общая сумма в USD: ~$2,950,555.00
Куда делись все украденные биткоины?
Простой анализ блокчейн транзакций показывает, что средства, украденные Вариантом 1 были разбиты на меньшие суммы. Сумму 48,36 BTC сначала перераспределили по 3,5 BTC, а потом по 1,9 BTC.
Такая модель, вероятно, свидетельствует о том, что был использован метод отмывания денег, известный как смурфинг (smurfing). 1,9 BTC это приблизительно 7000 долларов США, депозиты на эту сумму вряд ли вызовут вопросы и повлекут за собой подачу отчета в FinCEN, поскольку эта сумма находится ниже порога в 10 000 долларов США. (Структурирование (разделение, смурфинг). Большой объем наличных нелегальных средств разбивается на множество мелких сумм (к примеру, до 10 тыс. долларов в США).)
биткоины разбитые на части
Наконец, 11 транзакций, показанных выше, объединяются с дополнительными 15 транзакциями перед отправкой на 329nUnJxz5zgr4vnNPu8JNwpa3qEJfucQX, адрес, который является частью хорошо известного горячего кошелька криптовалютной биржи Bitfinex.
Первый шаг прежде, чем попасть в кошелек Bitfinex
Заключительный шаг (1Kr6QSydW9bFQG1mXiPNNu6WpJGmUa9i1g)
В воскресенье, 14 апреля, мы заметили, что злоумышленники которые стояли за Вариантом 2, только что перевели сумму 114.61050153 BTC (более полумиллиона долларов):
Вариант 2 уведомление о транзакции
Многие движения украденных средств из Варианта 2, похоже, следуют аналогичной схеме. Давайте посмотрим на недавний вывод 38.38517511 BTC с адреса злоумышленника “bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q”. Транзакция всегда делится на 2 выхода:
Транзакция разделена на два выхода
Держим в памяти транзакцию 36.38011271 BTC, к которой мы еще вернемся, давайте сначала проследим за транзакцией в 2.0050624 BTC по адресу «1BCtXcP3gc7FygZMegeKUPsogo68aKRSPA», за которым следует перевод на «1wotccCFTuLQdCv46Bz3zqcosDCDwAWhd». Мы видим транзакцию, содержащую 2 выхода, в которых адрес «3DvWYYkzgHbyBgUTSjtPsLmkzs1R9frSrz» получает все средства. Другой вывод с именем «not-address» - это то, что известно, как скрипт OP_RETURN. Этот скрипт обычно используется для записи данных в блокчейн.
Jump to: