Новый программа-шпион под названием Omnistealer превращает блокчейн в постоянную платформу для размещения вредоносного ПО, что является плохой новостью как для компаний, так и для обычных пользователей.
Вредоносное ПО довольно часто хранит свою полезную нагрузку на общедоступных платформах, предпочтительно таких, которые выглядят надежными, например Google Docs, OneDrive, GitHub, npm, PyPI и т. д.
Проблема для распространителей вредоносного ПО заключается в том, что их можно заблокировать. Иногда это занимает немало времени и требует значительных усилий, но это возможно. Omnistealer обходит эту проблему, храня свой промежуточный код в транзакциях на публичных блокчейнах, таких как TRON, Aptos и Binance Smart Chain.
Некоторые транзакции в блокчейне допускают добавление небольших фрагментов произвольных данных (примечаний, метаданных, входных данных для смарт-контрактов), и вместо безобидной информации злоумышленники вставляют:
- Зашифрованный текст
- Кодированные команды
- Фрагменты кода вредоносного ПО
А поскольку блокчейны работают по принципу «только добавление», эти вредоносные фрагменты фактически невозможно удалить после того, как они будут закреплены в блоке. Можно аннулировать домены и удалить репозитории GitHub, но невозможно откатить TRON или BSC только для того, чтобы удалить несколько сотен байтов промежуточного кода вредоносного ПО.
Таким образом, публичные реестры превращаются в отказоустойчивую и устойчивую к цензуре инфраструктуру управления, которую защитники не смогут просто отключить.
Несмотря на очевидную связь с криптовалютой, Omnistealer не ограничивается лишь ограблением криптоинвесторов. Как только Omnistealer проникает в систему, он нацеливается на:
- Более 10 менеджеров паролей, включая потребительские инструменты с синхронизацией в облаке, такие как LastPass.
- Основные браузеры, такие как Chrome Firefox, собирают сохраненные данные для входа и данные сеанса.
- Учетные записи в облачных хранилищах, включая учетные данные для Google Drive.
- Более 60 криптовалютных кошельков для браузеров, включая такие популярные расширения, как MetaMask и Coinbase Wallet.
Он разработан как универсальный инструмент для сбора данных, который, по словам следователей, «буквально вытащит всё».
Атака обычно начинается с «простого» задания по программированию: подрядчик получает предложение LinkedIn Upwork, загружает репозиторий с GitHub и запускает код, который выглядит как обычный проектный код. За кулисами этот код обращается к блокчейну, считывает данные транзакций и использует их в качестве указателя для извлечения и расшифровки конечного полезного груза.
По оценкам исследователей, уже скомпрометировано около 300 000 учетных данных, охватывающих самые разные сферы: от платформ индустрии для взрослых и сервисов доставки еды до компаний, занимающихся обеспечением финансового соответствия, поставщиков оборонной промышленности и государственных учреждений США.
Что вы можете сделать
Из блокчейна невозможно удалить вредоносное ПО, но вы можете значительно затруднить подобным атакам возможность нанести вам ущерб. Во-первых, сократите объем данных, которые можно украсть. Затем обеспечьте более надежную защиту своей информации.
- Относитесь к «работе мечты» и незапрошенным предложениям о сотрудничестве с осторожностью, особенно если собеседник сразу же переводит общение в чаты вне платформы (Telegram, Discord) или просит вас запустить код из закрытого репозитория.
- Защитите свои пароли с помощью надежного менеджера паролей и включите многофакторную аутентификацию (предпочитая приложения или ключи SMS-сообщениям) для всех важных или конфиденциальных учетных записей.
- Используйте современное антивирусное решение, работающее в режиме реального времени, для блокировки, обнаружения и удаления угроз, таких как Omnistealer.
- Не используйте свой обычный пользовательский профиль или основную рабочую станцию в качестве тестовой среды для случайных проектов на GitHub или побочных проектов. Вместо этого используйте виртуальную машину или отдельную систему.
- Следите за своими криптовалютными и банковскими счетами на предмет необъяснимых входов в систему или снятия средств и переведите средства на новые кошельки, если у вас возникнут подозрения о взломе.
Давайте посмотрим правде в глаза: окно в режиме инкогнито имеет свои ограничения.
Утечки данных, торговля в даркнете, мошенничество с кредитными картами. Malwarebytes Identity Theft отслеживает все эти угрозы, оперативно предупреждает вас и включает в себя страховку от кражи личных данных.
