CoinLurker: Zlonamjerni softver nove generacije

Identifikovan od strane sigurnosnih istraživača kompanije Morphisec, CoinLurker je veoma sofisticirani zlonamjerni softver dizajniran da se infiltrira u sisteme i krade kriptovalute. Izgrađen na obmanjujućim strategijama prethodnih prijetnji kao što su SocGolish, ClearFake, ClickFix, FakeCAPTCHA i FakeFlashPlayer, CoinLurker koristi najsavremenije tehnike zamagljivanja kôda i anti-analize, što ga čini ozbiljnim protivnikom u savremenim sajber napadima.

CoinLurker

CoinLurker: Zlonamjerni softver nove generacije; Source: Bing Image Creator

COINLURKER

CoinLurker nije samo još jedan zlonamjerni softver, on predstavlja kulminaciju godina obmanjujućih strategija i inovativnih tehnika koje koriste zlonamjerni akteri. Njegova pojava označava značajnu promjenu u taktikama koje koriste zlonamjerni akteri. Kombinovanjem ubjedljivih lažnih zahteva za ažuriranje sa skrivenim korisnim teretom, CoinLurker kampanje su pronašle nove načine da zaobiđu tradicionalne bezbjednosne odbrane i prikriju svoje zlonamjerno poreklo.

CoinLurker pokreće infekcije putem različitih obmanjujućih ulaznih tačaka koje iskorištavaju povjerenje korisnika u uobičajenim radnjama kao što su ažuriranja softvera, reklame, phishing elektronske poruke i veze na društvenim medijima. Prikrivajući zlonamjerni sadržaj kao osnovne ispravke ili legitimne oglase, zlonamjerni akteri mogu lako da prevare nesvjesne žrtve da preuzmu zlonamjerni softver.

 

Distribucija

Da bi se bolje razumjelo kao se CoinLurker distribuira, neophodno je detaljno ispitati njegove taktike i tehnike isporuke. U nastavku će biti riječi o različitim ulaznim tačkama preko kojih CoinLurker zlonamjerni softver pokreće infekcije, kao i o metodama koje zlonamjerni akteri koriste da iskoriste povjerenje korisnika.

Jedan od primarnih vektora isporuke za CoinLurker su lažna obavještenja o ažuriranju softvera na kompromitovanim WordPress internet lokacijama. Zlonamjerni akteri iskorišćavaju ranjivosti na ovim internet lokacijama kako bi isporučili lažne upite za ažuriranje, koje nesvjesni korisnici mogu preuzeti i instalirati bez oklijevanja. Ova tehnika koristi prednost povjerenja korisnika u uobičajene radnje kao što je ažuriranje softvera i može biti posebno efikasna protiv onih koji su manje upućeni u tehnologiju ili nisu upoznati sa rizicima povezanim sa preuzimanjem neprovjerenih ažuriranja.

Druga taktika isporuke koju koristi CoinLurker zlonamjerni softver su zlonamjerni oglasi na legitimnim internet lokacijama koji preusmjeravaju korisnike na zlonamjerne stranice, podstičući lažna ažuriranja ili CAPTCHA verifikacije. Ovi kompromitovani oglasi se često pojavljuju kao iskačući prozori ili baneri i korisnicima može biti teško da razlikuju od pravih reklama. Kada se na njih klikne, ovi oglasi mogu da odvedu korisnika na lažnu stranicu za ažuriranje na kojoj se nalazi zlonamjerni softver ili stranicu za verifikaciju koja je dizajnirana da ga prevari da pruži osjetljive informacije.

Zlonamjerni akteri takođe koriste društvene medije i veze za razmjenu poruka za distribuciju CoinLurker zlonamjernog softvera, često vodeći korisnike na prikrivene stranice za verifikaciju na kojima se nalazi zlonamjerni softver. Ove veze mogu da se djele na popularnim platformama kao što su Facebook ili Twitter (X) ili da se šalju putem aplikacija za razmjenu trenutnih poruka kao što su WhatsApp ili Telegram. Kada se kliknu, ove veze mogu da dovedu nesvjesne žrtve do lažnih zahteva za ažuriranje ili CAPTCHA prozora dizajniranih da ih prevare da preuzmu i instaliraju zlonamjerni softver.

Bez obzira na metod koji se koristi za pokretanje lanca infekcije, ažuriranje softvera traži od Microsoft Edge Webview2 da pokrene izvršenje korisnog opterećenja. Ova taktika komplikuje dinamičku i analizu izolovanog okruženja (eng. sandbox) zbog zavisnosti Webview2 od unaprijed instaliranih komponenti i interakcije korisnika.

 

Lanac infekcije

Da bi se bolje razumjela prijetnja koju predstavlja CoinLurker, neophodno je dublje ući u njegove tehnike koje su doprinijele njegovom uspehu. Ovaj zlonamjerni softver koristi višestepeni proces isporuke koji pažljivo izbjegava otkrivanje.

  • Zlonamjerni akteri ugrađuju kôdirane instrukcije korisnog tereta u Binance Smart Contracts, koristeći decentralizovana svojstva ulančanih blokova (eng. blockchain) za skladištenje otporno na neovlašteno korištenje. Ova inovativna tehnika omogućava zlonamjernom softveru da ostane neotkriven i spreman za primjenu kada ga pokrenu specifični uslovi;
  • CoinLurker zlonamjerni softver izvršava svoj teret u memoriji, a ne na disku, što otežava tradicionalnim bezbjednosnim rješenjima da otkriju ili analiziraju prijetnju;
  • Korištenje EtherHiding tehnike koja koristi infrastrukturu ulančanih blokova za prikrivanje korisnog opterećenja i izvršavanje u memoriji, koja zaobilazi tradicionalnu bezbjednosnu odbranu izbjegavajući tragove zasnovane na disku;
  • Bitbucket spremište je posljednja faza. U početku, ovo spremište sadrži benigne izvršne datoteke koje se bezbjednosnim skeniranjem smatraju bezbjednim. Međutim, kasnije, ove datoteke se zamjenjuju zlonamjernim verzijama. Ova taktika koristi prednost Bitbucket reputacije kao platforme od povjerenja i smanjuje šanse za trenutno otkrivanje pošto u početku sadrži čiste datoteke tokom ranih faza distribucije.

Primarni cilj CoinLurker zlonamjernog softvera je prikupljanje vrijednih podataka u vezi sa kriptovalutama i korisničkih akreditiva, što pokazuje njegovo ciljanje i na popularne i na manje popularne novčanike kriptovaluta. Ova svestranost i prilagodljivost čine ga značajnom prijetnjom za korisnike u ekosistemu kriptovaluta. Sveobuhvatno skeniranje koje koristi CoinLurker naglašava ovu namjeru.

 

Napredne tehnike zamagljivanja i anti-analize

Napredne tehnike prikrivanja čine CoinLurker zlonamjerni softver strašnim protivnikom tradicionalnih bezbjednosnih mjera. Da bi izbjegao otkrivanje, zlonamjerni softver koristi nekoliko slojeva šifrovanja i dešifrovanja da bi dinamički konstruisao jedinstvene ključeve sistemskih registara na osnovu podataka specifičnih za sistem. Ovo osigurava da CoinLurker zlonamjerni softver neće ponovo inficirati već kompromitovane sisteme tako što će prekinuti izvršenje ako otkrije prethodno kreirani ključ u sistemskim registrima.

Dinamička konstrukcija ovih ključeva sistemskih registara je jedan aspekt strategije zamagljivanja zlonamjernog softvera, ali takođe dinamički dekodira argumente komandne linije tokom izvršavanja kroz više slojeva kao što su Base64 dekodiranje i UTF-16 konverzija. Primjeri takvih argumenata uključuju nizove kao što su WSCOGJJEZZWL i NTOCBJPKZPNT. Ovi nizovi se dešifruju u memoriji tokom izvršavanja, ostavljajući minimalne tragove na disku i čineći statičku detekciju skoro nemogućom.

 

Komandno-kontrolni (C2) serveri

Jedna od ključnih komponenti CoinLurker zlonamjernog softvera je korištenje servera za komandu i kontrolu (C2) u operativne svrhe. CoinLurker zlonamjerni softver koristi okvir zasnovan na priključku (eng. socket) za komunikaciju sa svojim C2 serverima, što je uobičajena metoda koju koriste mnoge vrste zlonamjernog softvera za uspostavljanje veza i primanje komandi od svojih kontrolora. Korištenje funkcija kao što su GetAddrInfoW za DNS rezoluciju, WSASocketW za kreiranje priključka i ConnectEx za uspostavljanje veza omogućava zlonamjernom softveru da efikasno komunicira sa svojim C2 serverima.

Razmjena podataka između CoinLurker zlonamjernog softvera i njegovih C2 servera se obavlja preko WSASend i WSARecv, obezbeđujući bezbjednu i efikasnu komunikaciju. Da bi se dodatno poboljšala efikasnost, asinhrone operacije se koriste preko CreateIoCompletionPort. Ova tehnika omogućava zlonamjernom softveru da obavlja više zadataka istovremeno bez čekanja da se svaki zadatak završi pre nego što pređe na sljedeći, čime se povećava njegova operativna brzina i efikasnost.

Jedan od razloga zašto su C2 serveri ključni u radu CoinLurker zlonamjernog softvera je taj što omogućavaju zlonamjernim akterima da dinamički preuzimaju uputstva sa svojih kontrolisanih servera. Ova dinamična priroda pomaže u izbjegavanju statičnih indikatora koji bi mogli da izazovu otkrivanje tradicionalnim bezbjednosnim mjerama. Sposobnost prilagođavanja i promjene ponašanja na osnovu okruženja čini CoinLurker zlonamjerni softver ozbiljnom prijetnjom u digitalnom okruženju.

 

Tehnike eksfiltracije i strategija ciljanja

Primarni cilj CoinLurker zlonamjernog softvera je da eksfiltrira osjetljive podatke vezane kriptovalute i finansijske informacije iz kompromitovanih sistema. Da bi postigao ovaj cilj, kao što je već rečeno, zlonamjerni softver koristi komunikaciju sa serverima za komandu i kontrolu (C2) u svrhu interakcije.

Sigurnosni istraživači su primijetili da CoinLurker zlonamjerni softver sistematski evidentira direktorijume povezane sa novčanicima kriptovaluta i finansijskim aplikacijama kako bi prikupio osjetljive korisničke podatke. Proces eksfiltracije uključuje nekoliko faza, uključujući:

  • Identifikovanje ciljanog direktorijuma ili aplikacije na osnovu njegovog imena ili specifičnih obrazaca u putanjama datoteka;
  • Čitanje sadržaja datoteka u ovim direktorijumima za potencijalne akreditive ili privatne ključeve koji se odnose na novčanike kriptovaluta i finansijske aplikacije;
  • Šifrovanje i eksfiltracija prikupljenih podataka nazad na C2 servere;
  • Periodično ažurira svoju listu ciljanih direktorijuma na osnovu novih informacija o popularnim novčanicima, aplikacijama ili uslugama u ekosistemu kriptovaluta.

 

Uticaj

CoinLurker predstavlja značajnu prijetnju modernoj sajber bezbjednosti zbog svojih naprednih tehnika i štete koju može da izazove. Iskorištavanjem ranjivosti u popularnom softveru, kompromitovanjem legitimnih internet lokacija i korištenjem skrivenih korisnih podataka, CoinLurker se pokazao kao efikasan alat za zlonamjerne aktere koji žele da ukradu osjetljive informacije ili iskopaju kriptovalute bez otkrivanja.

Štaviše, njegovo korištenje Binance Smart Contracts i tehnologije ulančanih blokova otežava praćenje porekla napada i gašenje komandnih i kontrolnih servera. Ova povećana složenost u atribuciji dodatno komplikuje napore za efikasnu borbu protiv CoinLurker zlonamjernog softvera.

 

ZAKLJUČAK

CoinLurker zlonamjerni softver predstavlja značajnu evoluciju u sajber napadima, posebno protiv korisnika kriptovaluta. Njegova sposobnost da izbjegne otkrivanje kroz prikrivanje zasnovano na ulančanim blokovima i dinamičku isporuku korisnog tereta čini ga ozbiljnom prijetnjom. Kako upotreba digitalnih valuta nastavlja da raste, tako će rasti i broj napada usmjerenih na ove sisteme.

Organizacije moraju dati prioritet mjerama sajber bezbjednosti kako bi zaštitile svoju imovinu i imovinu svojih klijenata. Uzimajući proaktivan pristup bezbjednosti, organizacije mogu da smanje rizik da postanu žrtve ovih napada i da zaštite svoju digitalnu imovinu. Pojedinci takođe treba da preduzmu mjere predostrožnosti kada koriste kriptovalute. Prateći najbolje prakse za bezbjednost na mreži, pojedinci mogu da pomognu da se zaštite od neprestanog razvoja sajber prijetnji koje ciljaju digitalne valute.

CoinLurker zlonamjerni softver služi kao podsjetnik da se pejzaž prijetnji stalno mijenja i da zlonamjerni akteri postaju sve sofisticiraniji u svojim metodama. Organizacije i pojedinci moraju ostati budni i proaktivni u svom pristupu bezbjednosti kako bi se zaštitili od ovih novonastalih prijetnji. Ostajući informisani, primjenom jakih mjera sajber bezbjednosti i praćenjem najboljih praksi za bezbjednost na mreži, moguće je osigurati bezbjednu budućnost za digitalnu ekonomiju.

 

ZAŠTITA

Da bi se efikasno zaštitila digitalna imovina od ovog prikrivenog i sofisticiranog zlonamjernog softvera, neophodno je razumjeti njegovu taktiku i primijeniti višeslojni bezbjednosni pristup. Evo nekoliko preporuka koje mogu pomoći za zaštitu od ove prijetnje:

 

  1. Uvjeriti se da su operativni sistem, antivirusni softver i druge kritične aplikacije ažurirane sa najnovijim ažuriranjima i bezbjednosnim ispravkama. Ovo će smanjiti potencijalne ranjivosti koje može iskoristiti CoinLurker ili sličan zlonamjerni softver;
  2. Phishing elektronske poruke ostaju uobičajeni vektor za isporuku zlonamjernih korisnih podataka kao što je CoinLurker zlonamjerni softver. Izbjegavati klikanje na veze ili preuzimanje priloga iz nepoznatih izvora, posebno onih koji izgledaju sumnjivo ili neprikladni u sandučetu elektronske pošte;
  3. Preuzimati samo softver ili datoteke iz pouzdanih izvora. Biti oprezan sa besplatnim softverom, jer može sadržati skriveni zlonamjerni softver. Ako je moguće, provjeriti integritet datoteke pomoću alata kao što je VirusTotal sigurnosna platforma pre njenog otvaranja;
  4. Ograničiti privilegije korisničkih naloga i primijeniti jake politike lozinki u svim sistemima. Ovo će pomoći da se spriječi neovlašteni pristup ili povećane privilegije koje mogu dovesti do uspješne infekcije CoinLurker zlonamjernim softverom;
  5. Nadgledati mrežni saobraćaj pazeći na bilo koje neobične aktivnosti, kao što su odlazne veze na nepoznate IP adrese ili sumnjivi prenos podataka iz određenih direktorijuma povezanih sa novčanicima kriptovaluta (npr. Bitcoin, Ethereum). Ovo može pomoći da se otkrije i brzo odgovori ako CoinLurker zlonamjerni softver pokuša da komunicira sa svojim udaljenim serverom;
  6. Implementirati alate za praćenje procesa koji prate ponašanje aplikacije za filtriranje na osnovu naziva procesa, putanja datoteka ili drugih indikatora kompromisa (eng. indicators of compromise – IOC) povezanih sa CoinLurker zlonamjernim softverom. Ovo će pomoći da se otkriju i blokiraju pokušaji zlonamjernog softvera da primjeni svoj teret na Microsoft Edge (exe) procese;
  7. Implementirati softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji ima mogućnost nadgledanja, analize i reagovanja na prijetnje u realnom vremenu u cijeloj mreži. Ovo će pomoći da se otkriju CoinLurker tehnike zamagljivanja tokom rada i da se odmah preduzmu mjere da se spriječi dalje kompromitovanje;
  8. Redovno praviti rezervne kopije podataka za sve kritične podatke na sistemima, uključujući novčanike za kriptovalute. U slučaju infekcije, ovo će pomoći da se brzo povrati izgubljena imovina bez značajnih finansijskih gubitaka ili zastoja;
  9. Obučite korisnike da prepoznaju phishing elektronske poruke i druge taktike društvenog inženjeringa koje mogu da dovedu do infekcije CoinLurker zlonamjernim softverom. Ovo će stvoriti kulturu svesti o bezbjednosti u organizaciji i smanjiti rizik od uspješnih napada;
  10. Omogućite autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za sve kritične naloge, uključujući elektronsku poštu, novčanike za kriptovalute i druge osjetljive sisteme. Ovo još jedan sloj zaštite od neovlaštenog pristupa ili pokušaja preuzimanja naloga od strane CoinLurker ili sličnog zlonamjernog softvera.

Primjenom ovih preporuka moguće je značajno smanjiti rizik od uspješne infekcije CoinLurker zlonamjernim softverom i efikasno zaštititi digitalnu imovinu od ove sofisticirane prijetnje.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.