Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
По сообщению Google Threat Intelligence Group (GTIG) от 17 октября, хакеры начали использовать технику EtherHiding, которая позволяет размещать и доставлять вредоносное ПО через смарт-контракты. Такой метод применяется для кражи криптовалют в процессе атак с элементами социальной инженерии.
По данным аналитиков, за этой активностью стоит северокорейская группа, известная как UNC5342, которая с февраля использует EtherHiding в рамках операций под названием Contagious Interview.
EtherHiding — это способ распространения вредоносных программ, при котором данные встраиваются в смарт-контракты, размещенные в публичных блокчейнах вроде Ethereum.
Благодаря особенностям блокчейна, EtherHiding обеспечивает:
Смарт-контракт содержит загрузчик JADESNOW, который взаимодействует с Ethereum и запускает второй этап атаки — JavaScript-вредонос InvisibleFerret, обычно применяемый для долгосрочного шпионажа.
Процесс EtherHiding в блокчейнах BNB Smart Chain и Ethereum. Источник: Google Threat Intelligence Group.
Атаки обычно начинаются с ложных собеседований в фиктивных компаниях — типичной тактики северокорейских хакеров. Жертву убеждают выполнить код якобы в рамках технического теста, на деле процесс активирует мошеннический JavaScript.
После установки вредонос:
GTIG отмечает, что ПО работает в памяти и может запрашивать из Ethereum дополнительный модуль, предназначенный для кражи учетных данных.
По данным исследователей, за первые четыре месяца контракт обновлялся более 20 раз, при этом каждый апгрейд стоил в среднем всего $1,37 в виде комиссий.
Вредоносный компонент нацелен на пароли, информацию о банковских картах и криптокошельках вроде MetaMask и Phantom, а также данные браузеров.
В октябре аналитики швейцарской Global Ledger предоставили отчет о подтвержденных взломах кроссчейн-мостов с 2021 года по III квартал 2025 года. По их данным, за этот период проведено 34 хакерские атаки, ущерб от которых составил ~$2,9 млрд.
Источник: Global Ledger.
В 85% случаев средства выведены до того, как инцидент был публично раскрыт. Первые переводы происходили в среднем в течение 2 часов 15 минут, в то время как публичное сообщение об инциденте запаздывало примерно на 22 часа.
Специалисты отмечают, что в 91% инцидентов движение средств происходило в течение первых 24 часов, а в одном случае полный цикл отмывания — от начала атаки до конечной точки — занял всего 33,5 минуты.
Согласно отчету, был установлен рекорд скорости перевода похищенных средств после взлома кроссчейн-моста: он составил 1 минуту 13 секунд.
Источник: Global Ledger.
Аналитики подчеркнули сильную зависимость от миксера Tornado Cash, который был задействован в 96% случаев, связанных с перемешиванием транзакций.
Крупнейшую долю из украденных активов хакеры отмыли через DeFi-платформы. На них пришлось ~$1,48 млрд. Около $959 млн злоумышленники перенаправили через миксеры и другие ориентированные на анонимность сервисы, $490 млн — через кроссчейн-мосты.
Источник: Global Ledger.
Среди похищенных средств некоторые были возвращены, другие — навсегда потеряны:
«Учитывая уровень возмещения, составляющий ~1,5%, и разделение потоков средств по множеству конечных точек, традиционные стратегии реагирования после инцидентов оказались неэффективными», — говорится в отчете.
Мосты пора сжечь?15 октября киберполиция Хмельницкой области сообщила о разоблачении группы лиц, подозреваемых в незаконном завладении цифровыми активами граждан Украины, стран Европы и Ближнего Востока.
По данным правоохранителей, злоумышленники создали криптовалюту и привлекали инвесторов через тематические сообщества в Telegram. Предполагаемые мошенники демонстрировали роскошный образ жизни и «прибыльные торговые сделки», побуждая жертв к инвестициям.
Источник: Киберполиция Украины.
После того как граждане вкладывали деньги в криптовалюту, ее создатели блокировали доступ к управлению приобретенными активами.
Подозреваемые отмывали средства через специализированные анонимные сервисы и конвертировали их в наличные.
Источник: Киберполиция Украины.
Правоохранители установили имена пятерых граждан Украины, пострадавших от действий мошенников. В процессе обысков Хмельницком и Киеве были изъяты техника, аппаратные криптокошельки, черновые записи, подтверждающие преступную деятельность, а также элитные автомобили.
Задержанным грозит до восьми лет лишения свободы. Расследование продолжается.
Согласно пресс-релизу от 14 октября, Минюст США изъял 127 271 BTC на сумму ~$15 млрд у главы Prince Group — Чэнь Чжи. Преступная организация похитила миллиарды долларов у жертв по всему миру с помощью поддельных инвестиций в криптовалюты, известных как «мошенничество на доверии».
Обычно преступники, стоящие за подобными схемами, устанавливают контакт с жертвами через социальные сети и сайты знакомств, завоевывают доверие, а затем убеждают вложить деньги в фиктивные инвестиционные проекты. Вместо того, чтобы инвестировать средства, мошенники переводят их на собственные счета.
Согласно обнародованным судебным документам, камбоджийская группировка Prince Group с 2015 года управляет более чем 100 подставными и холдинговыми компаниями в 30 странах. Организация заставляла тысячи людей участвовать в мошеннических схемах и успешно уклонялась от правоохранительных органов.
Преступники также управляли автоматизированными колл-центрами, использовавшими миллионы телефонных номеров.
«Prince Group реализовывала свои схемы, занимаясь торговлей людьми и заставляя сотни работников выполнять мошеннические операции в лагерях на территории Камбоджи, зачастую под угрозой насилия», — говорится в пресс-релизе.
Такие комплексы включали огромные общежития, окруженные высокими стенами и колючей проволокой, и фактически функционировали как лагеря принудительного труда.
Глава группировки Чэнь Чжи, также известный как Винсент, до сих пор находится на свободе. Он лично участвовал в подкупе чиновников, чтобы избежать вмешательства правоохранителей, управлял лагерями и применял насилие против находившихся там людей.
Часть похищенных средств преступники тратили на роскошные путешествия, элитные покупки и дорогостоящее имущество — яхты, частные самолеты, виллы, а также картину Пикассо, приобретенную на аукционе в Нью-Йорке.
Киберпреступник под ником TigerJack постоянно атакует разработчиков, публикуя вредоносные расширения на маркетплейсе Microsoft Visual Code (VSCode) и в реестре OpenVSX, чтобы красть цифровые активы и устанавливать бэкдоры. Об этом сообщили исследователи из Koi Security.
Два расширения, удаленные из VSCode после того, как их скачали 17 000 раз, до сих пор доступны в OpenVSX. Более того, TigerJack повторно публикует тот же вредоносный код под новыми именами на маркетплейсе VSCode.
Два расширения, удаленные с VSCode — C++ Playground и HTTP Format — были повторно представлены на платформе через новые аккаунты.
При запуске C++ Playground регистрирует слушатель для файлов C++, чтобы эксфильтровать исходный код на несколько внешних конечных точек. Слушатель срабатывает примерно через 500 миллисекунд после редактирования, чтобы захватывать нажатия клавиш почти в реальном времени.
По данным Koi Security, HTTP Format работает как заявлено, но тайно запускает в фоновом режиме майнер CoinIMP, используя жестко закодированные учетные данные и конфигурацию для майнинга криптовалюты. Майнер, похоже, не реализует никаких ограничений на использование ресурсов, задействуя всю вычислительную мощность для своей деятельности.
Другая категория вредоносных расширений от TigerJack извлекает код JavaScript с жестко закодированного адреса и выполняет его на хосте. Удаленный адрес опрашивается каждые 20 минут, что позволяет выполнять произвольный код без необходимости обновления самого расширения.
Исследователи комментируют, что, в отличие от стилера исходного кода и криптомайнера, этот третий тип гораздо более угрожающий, поскольку он обладает расширенной функциональностью:
«TigerJack может динамически внедрять любую вредоносную нагрузку без обновления расширения — красть учетные данные и ключи API, развертывать программы-вымогатели, использовать скомпрометированные машины разработчиков как точки входа в корпоративные сети, внедрять бэкдоры в ваши проекты или отслеживать вашу активность в реальном времени».
На момент написания отчета администраторы OpenVSX не связались с Koi Security. Два расширения остаются доступными для скачивания.
Также на ForkLog:
«Авторское лево» — способ сохранить свободу ПО в эпоху тотальной коммерциализации. О его создателе Ричарде Столлмане читайте в новом материале ForkLog.
Кремниевые танки: Ричард Столлман — отец копилефта
JOIN
