Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Хакеры адаптировали вредонос под блокчейн.
Global Ledger: отчет по взломам кроссчейн-мостов.
Правоохранители обезвредили хмельницкую криптобанду.
США конфисковали биткоин на $15 млрд у лидера камбоджийской группировки.
Хакеры адаптировали вредонос под блокчейн
По сообщению Google Threat Intelligence Group (GTIG) от 17 октября, хакеры начали использовать технику EtherHiding, которая позволяет размещать и доставлять вредоносное ПО через смарт-контракты. Такой метод применяется для кражи криптовалют в процессе атак с элементами социальной инженерии.
По данным аналитиков, за этой активностью стоит северокорейская группа, известная как UNC5342, которая с февраля использует EtherHiding в рамках операций под названием Contagious Interview.
EtherHiding — это способ распространения вредоносных программ, при котором данные встраиваются в смарт-контракты, размещенные в публичных блокчейнах вроде Ethereum.
Благодаря особенностям блокчейна, EtherHiding обеспечивает:
анонимность исполнителей;
устойчивость к блокировкам и удалению;
возможность гибкого обновления вредоносного кода при низких затратах;
высокую скрытность, не оставляя следов в истории транзакций.
Смарт-контракт содержит загрузчик JADESNOW, который взаимодействует с Ethereum и запускает второй этап атаки — JavaScript-вредонос InvisibleFerret, обычно применяемый для долгосрочного шпионажа.
Процесс EtherHiding в блокчейнах BNB Smart Chain и Ethereum. Источник: Google Threat Intelligence Group.
Атаки обычно начинаются с ложных собеседований в фиктивных компаниях — типичной тактики северокорейских хакеров. Жертву убеждают выполнить код якобы в рамках технического теста, на деле процесс активирует мошеннический JavaScript.
После установки вредонос:
работает в фоновом режиме;
ожидает команд от удаленного сервера;
может выполнять произвольные команды и отправлять украденные файлы в формате ZIP на внешний сервер или в Telegram.
GTIG отмечает, что ПО работает в памяти и может запрашивать из Ethereum дополнительный модуль, предназначенный для кражи учетных данных.
По данным исследователей, за первые четыре месяца контракт обновлялся более 20 раз, при этом каждый апгрейд стоил в среднем всего $1,37 в виде комиссий.
Вредоносный компонент нацелен на пароли, информацию о банковских картах и криптокошельках вроде MetaMask и Phantom, а также данные браузеров.
Global Ledger: отчет по взломам кроссчейн-мостов
В октябре аналитики швейцарской Global Ledger предоставили отчет о подтвержденных взломах кроссчейн-мостов с 2021 года по III квартал 2025 года. По их данным, за этот период проведено 34 хакерские атаки, ущерб от которых составил ~$2,9 млрд.
Источник: Global Ledger.
В 85% случаев средства выведены до того, как инцидент был публично раскрыт. Первые переводы происходили в среднем в течение 2 часов 15 минут, в то время как публичное сообщение об инциденте запаздывало примерно на 22 часа.
Специалисты отмечают, что в 91% инцидентов движение средств происходило в течение первых 24 часов, а в одном случае полный цикл отмывания — от начала атаки до конечной точки — занял всего 33,5 минуты.
Согласно отчету, был установлен рекорд скорости перевода похищенных средств после взлома кроссчейн-моста: он составил 1 минуту 13 секунд.
Источник: Global Ledger.
Аналитики подчеркнули сильную зависимость от миксера Tornado Cash, который был задействован в 96% случаев, связанных с перемешиванием транзакций.
Крупнейшую долю из украденных активов хакеры отмыли через DeFi-платформы. На них пришлось ~$1,48 млрд. Около $959 млн злоумышленники перенаправили через миксеры и другие ориентированные на анонимность сервисы, $490 млн — через кроссчейн-мосты.
Источник: Global Ledger.
Среди похищенных средств некоторые были возвращены, другие — навсегда потеряны:
~$619 млн хакеры вернули;
~$401 млн заморозили или сожгли;
более $334 млн остаются неизрасходованными на момент написания отчета и находятся в кошельках, связанных с атакующими.
«Учитывая уровень возмещения, составляющий ~1,5%, и разделение потоков средств по множеству конечных точек, традиционные стратегии реагирования после инцидентов оказались неэффективными», — говорится в отчете.
https://forklog.com/exclusive/mosty-pora-szhech
Правоохранители обезвредили хмельницкую криптобанду
15 октября киберполиция Хмельницкой области сообщила о разоблачении группы лиц, подозреваемых в незаконном завладении цифровыми активами граждан Украины, стран Европы и Ближнего Востока.
По данным правоохранителей, злоумышленники создали криптовалюту и привлекали инвесторов через тематические сообщества в Telegram. Предполагаемые мошенники демонстрировали роскошный образ жизни и «прибыльные торговые сделки», побуждая жертв к инвестициям.
Источник: Киберполиция Украины.
После того как граждане вкладывали деньги в криптовалюту, ее создатели блокировали доступ к управлению приобретенными активами.
Подозреваемые отмывали средства через специализированные анонимные сервисы и конвертировали их в наличные.
Источник: Киберполиция Украины.
Правоохранители установили имена пятерых граждан Украины, пострадавших от действий мошенников. В процессе обысков Хмельницком и Киеве были изъяты техника, аппаратные криптокошельки, черновые записи, подтверждающие преступную деятельность, а также элитные автомобили.
Задержанным грозит до восьми лет лишения свободы. Расследование продолжается.
США конфисковали биткоин на $15 млрд у лидера камбоджийской группировки
Согласно пресс-релизу от 14 октября, Минюст США изъял 127 271 BTC на сумму ~$15 млрд у главы Prince Group — Чэнь Чжи. Преступная организация похитила миллиарды долларов у жертв по всему миру с помощью поддельных инвестиций в криптовалюты, известных как «мошенничество на доверии».
Обычно преступники, стоящие за подобными схемами, устанавливают контакт с жертвами через социальные сети и сайты знакомств, завоевывают доверие, а затем убеждают вложить деньги в фиктивные инвестиционные проекты. Вместо того, чтобы инвестировать средства, мошенники переводят их на собственные счета.
Согласно обнародованным судебным документам, камбоджийская группировка Prince Group с 2015 года управляет более чем 100 подставными и холдинговыми компаниями в 30 странах. Организация заставляла тысячи людей участвовать в мошеннических схемах и успешно уклонялась от правоохранительных органов.
Преступники также управляли автоматизированными колл-центрами, использовавшими миллионы телефонных номеров.
«Prince Group реализовывала свои схемы, занимаясь торговлей людьми и заставляя сотни работников выполнять мошеннические операции в лагерях на территории Камбоджи, зачастую под угрозой насилия», — говорится в пресс-релизе.
Такие комплексы включали огромные общежития, окруженные высокими стенами и колючей проволокой, и фактически функционировали как лагеря принудительного труда.
Глава группировки Чэнь Чжи, также известный как Винсент, до сих пор находится на свободе. Он лично участвовал в подкупе чиновников, чтобы избежать вмешательства правоохранителей, управлял лагерями и применял насилие против находившихся там людей.
Часть похищенных средств преступники тратили на роскошные путешествия, элитные покупки и дорогостоящее имущество — яхты, частные самолеты, виллы, а также картину Пикассо, приобретенную на аукционе в Нью-Йорке.
Расширения для разработчиков становятся опаснее
Киберпреступник под ником TigerJack постоянно атакует разработчиков, публикуя вредоносные расширения на маркетплейсе Microsoft Visual Code (VSCode) и в реестре OpenVSX, чтобы красть цифровые активы и устанавливать бэкдоры. Об этом сообщили исследователи из Koi Security.
Два расширения, удаленные из VSCode после того, как их скачали 17 000 раз, до сих пор доступны в OpenVSX. Более того, TigerJack повторно публикует тот же вредоносный код под новыми именами на маркетплейсе VSCode.
Два расширения, удаленные с VSCode — C++ Playground и HTTP Format — были повторно представлены на платформе через новые аккаунты.
При запуске C++ Playground регистрирует слушатель для файлов C++, чтобы эксфильтровать исходный код на несколько внешних конечных точек. Слушатель срабатывает примерно через 500 миллисекунд после редактирования, чтобы захватывать нажатия клавиш почти в реальном времени.
По данным Koi Security, HTTP Format работает как заявлено, но тайно запускает в фоновом режиме майнер CoinIMP, используя жестко закодированные учетные данные и конфигурацию для майнинга криптовалюты. Майнер, похоже, не реализует никаких ограничений на использование ресурсов, задействуя всю вычислительную мощность для своей деятельности.
Другая категория вредоносных расширений от TigerJack извлекает код JavaScript с жестко закодированного адреса и выполняет его на хосте. Удаленный адрес опрашивается каждые 20 минут, что позволяет выполнять произвольный код без необходимости обновления самого расширения.
Исследователи комментируют, что, в отличие от стилера исходного кода и криптомайнера, этот третий тип гораздо более угрожающий, поскольку он обладает расширенной функциональностью:
«TigerJack может динамически внедрять любую вредоносную нагрузку без обновления расширения — красть учетные данные и ключи API, развертывать программы-вымогатели, использовать скомпрометированные машины разработчиков как точки входа в корпоративные сети, внедрять бэкдоры в ваши проекты или отслеживать вашу активность в реальном времени».
На момент написания отчета администраторы OpenVSX не связались с Koi Security. Два расширения остаются доступными для скачивания.
Также на ForkLog:
Кошелек взломанного пула LuBian перевел 9757 BTC после трех лет «спячки».
Спутниковая связь оказалась без шифрования — ученые перехватили военные данные.
Что почитать на выходных?
«Авторское лево» — способ сохранить свободу ПО в эпоху тотальной коммерциализации. О его создателе Ричарде Столлмане читайте в новом материале ForkLog.
https://forklog.com/exclusive/kremnievye-tanki-richard-stollman-otets-kopilefta
