Code
Price ($ US)
% day chg
% week chg
Mktcap ($ US)
BTC
10328.4650476
-0.32
-1.2
185.3b
ETH
189.169727843
2.41
4.37
20.4b
XRP
0.2615879731
-0.53
-0.23
11.3b
BCH
304.087204364
0.11
-0.24
5.5b
LTC
70.4051363055
0.35
0.43
4.5b
USDT
1.0034753801
0.12
-0.3
4.1b
EOS
4.050449986
3.37
10.08
3.8b
BNB
20.8596155885
-0.58
-7.58
3.2b
BSV
119.775441904
0.22
-11.44
2.1b
XMR
75.0716199347
0.38
-2.97
1.3b
ADA
0.0467214105
1.4
-0.72
1.2b
XLM
0.0582019477
0.77
-4.32
1.2b
LEO
1.0686786151
1.25
-0.4
1.1b
TRX
0.0158417876
1.5
1.12
1.1b
HT
4.0731732618
-0.21
0.84
1b
DASH
90.1805960824
-1.67
3.91
0.8b
ETC
6.292791836
1.08
-5.89
0.7b
MIOTA
0.2477848637
0.6
1.16
0.7b
XTZ
1.0013041383
1.45
-4.76
0.7b
ATOM
3.4124242153
7.1
34.36
0.7b
NEO
9.1028668591
0.2
-1.52
0.6b
LINK
1.6128476927
0.82
-12.07
0.6b
MKR
474.92915948
1.51
6.28
0.5b
USDC
1.0022218348
0.18
-0.2
0.4b
XEM
0.0466938768
-0.42
-1.45
0.4b
ONT
0.7608846235
0.53
2.55
0.4b
CRO
0.0392728981
-0.76
-2.9
0.4b
INO
2.0523426205
1.11
0.1
0.4b
ZEC
46.8422204689
2.56
-2.94
0.3b
DOGE
0.0024780397
1.82
-1.23
0.3b

Хакеры организовывают фишинг-атаки под видом сотрудников редакции ForkLog

21-08-2019 14

Основатель криптовалютной биржи Codex и CEO Attic Lab Сергей Васильчук едва не стал жертвой фишинговой атаки, которую злоумышленники пытались провести под видом сотрудника редакции ForkLog.

Примечательно, что это уже третий инцидент в череде атак на топ-менеджеров биткоин-бирж за последнее время. До этого жертвами чуть не стали сотрудники Coinbase.

Дисклеймер

Будьте бдительны, редакция ForkLog общается с читателями и клиентами только через официальные аккаунты! Для защиты наших читателей от такого вида атак мы приводим подробное описание инцидента.

Хронология событий

8 августа Сергей Васильчук получил в Telegram сообщение от пользователя с ником Vlad Artemov, представившегося сотрудником редакции ForkLog (здесь и далее орфография и пунктуация авторская):

Добрый вечер, Сергей! Меня зовут Влад Артемов и я представляю интересы компании ForkLog. Ваши контакты мне были любезно предоставлены Вашим саппортом. Мы бы хотели разместить пост с обзором вашего сайта на нашем новостном ресурсе. ForkLog — самое крупное русскоязычное интернет-издание о криптовалютах и блокчейне, что гарантирует успех нашим клиентам. Хотелось бы обсудить с Вами детали нашей статьи — я с радостью отвечу на все Ваши вопросы в любое удобное для Вас время. С Уважением,
Артем, команда ForkLog

Обратите внимание, что злоумышленник в одном письме представился сразу двумя именами.

Однако, по словам Васильчука, он не придал особого значения этому сообщению, так как в этот момент маркетинговый отдел его компании действительно взаимодействовал с ForkLog по ряду публикаций. В конечном итоге он ответил «нашему сотруднику»:

Влад приветствую, я знаю Forklog с тех пор когда Каплан еще сам был.
У нас есть группа , в которой человек 5 из Форклога и там же наш CMО

Спустя сутки, 9 августа, Влад-Артем прислал ответное сообщение:

Добрый вечер, Сергей! Мы все обсудили с Александром. Я отправлю Вам ссылку на онлайн просмотр статьи о Вашей компании по готовности. Благодарю Вас за сотрудничество.

13 августа он написал следующее:

Здравствуйте, Сергей! Напишите, пожалуйста, когда вы будете за компьютером, чтобы Вам было удобно принять ссылку на онлайн просмотр. Я смогу отправить сегодня в любое, удобное для Вас время.

Васильчук продолжил игнорировать сообщения от Влада-Артема, ожидая, когда CMO Codex даст ему отмашку, однако «новичок» не сдался и 16 августа начал давить на жалость и перешел в активную стадию атаки:

Сергей, мне была поставлена задача получить именно Ваше одобрение. После того, как Вы просмотрите, я смогу отправить и Александру. Возможно так проверяют стажера — на выполение поставленного задания. Я надеюсь на Ваше понимание.
Вот ссылка на онлайн просмотр: https://forklo*****s.com И вот Ваш id для просмотра: 1703fc35dd531259e71f99aa4caa595c777b3261

Решающий момент

«В это время я находился в ожидании рейса, решил посмотреть, что там «бедняга» сочинил, размышляя о странностях кадровой политики ForkLog.

Открываю ссылку, вижу какую-то странную страницу с предложением «ввести хеш для расшифровки документа»… Ввожу, и тут браузер начинает запрашивать у меня не совсем характерные операции.

Тут мое терпение заканчивается, решаю высказать свое негодование ForkLog, что приводит меня в чувство, я заново анализирую всю историю от начала до конца и понимаю, что такое поведение нетипично для редакции, которую я знаю с самых истоков. Спрашиваю у настоящего ForkLog о необычном стажере, и ответ ставит все на свои места.

Быстро отключаю ноутбук от интернета, закрываю браузер и сообщаю о произошедшем ответственным за безопасность биржи Codex. В течение считанных минут информация доносится до бирж Kuna и Hacken, которые также незамедлительно принялись за анализ инцидента, за что выражаю им огромную благодарность».

Технические подробности атаки

Скрипт эксплуатирует developer friendly подход MacOS и невнимательность жертвы. Под видом расшифровки документа он устанавливает бэкдор в системные службы операционной системы и ждет команд с удаленного сервера.

«Наш специалист по безопасности исследовал этого трояна и я пришел в ужас от его потенциальных возможностей — злоумышленник получал полный контроль над машиной, включая управления такими системными службами, как KeyChain… Другими словами — получал доступ к паролям и даже сертификатам, не говоря о файловой системе, почте и мессенджерах», — отметил Васильчук.

Внутреннее расследование показало, что для атаки использовалось ранее известное решение EmPyre с открытым исходным кодом. EmPyre — клиент-серверная платформа, написанная на Python и позволяющая (в данном случае с помощью AppleScript) установить в систему агент-имплант.

Весь процесс атаки можно описать следующим образом:

  • Жертва переходит на фишинговый сайт, где ей предлагается выполнить действие, для которого необходим запуск скрипта AppleScript, являющегося «загрузчиком» и состоящего из двух стадий;
  • Во время второй стадии из сервера (193.187.174.229) загружается «сборщик информации», необходимой для создания уникального (!) для каждой атакуемой системы агента;
  • Загрузчик обращается к серверу, получая код агента, генерируемый для каждой атакуемой системы отдельно. Серверу передается следующая информация о системе: версия ядра, логин текущего пользователя, IP-адреса сетевых интерфейсов, PID загрузчика;
  • Агент устанавливает в системе Listener, который обращается к серверу за очередью дальнейших команд.

Среди «предопределенных» команд можно выделить следующие:

  • Дамп всех данных любого из браузеров (история, сессии, учетные данные и т.д.);
  • Постоянный перехват данных буфера обмена;
  • Keylogger;
  • Скриншотинг;
  • Дамп OS X Keychain и хешей паролей к нему;
  • Дамп iMessage;
  • Доступ к веб-камере;
  • Загрузка фейкового скринсейвера, запрашивающего логин/пароль к системе жертвы.

Платформа также позволяет атакующей стороне реализовать и свой набор модулей, предоставляя для этого API.

Примечательно также то, что все общение клиент-сервер происходит в зашифрованном (AES) виде на уровне отправляемых пакетов. Также каждое сообщение имеет HMAC-подпись.

Агент имеет в своей реализации режим работы «только в рабочие часы», а также функцию самоуничтожения, которая может быть задана как датой заранее, так и командой с управляющего сервера.

Имплант в системе может быть обнаружен присутствием файла ~/.Trash/.mac-debug-data (по умолчанию).

Разбор кейса и рекомендации

«Признаюсь честно, меня эта ситуация испугала, — говорит Сергей Васильчук. — Я осознал, насколько недооценивал угрозу социального инжиниринга, и понял, насколько уязвимы внешне «неприступные» современные IT-системы. Я не стал жертвой, так как вовремя среагировал, но наживку все-таки проглотил».

Следующие рекомендации помогут сохранить доступ к вашим средствам, даже при взломанном компьютере.

  • Фишинговые атаки нацелены на слабости человека, так как машины и сети более устойчивы к взломам. Всегда подключайте критическое мышление — не доверяйте незнакомым людям, обращайте внимание даже на незначительные подозрительные отклонения в электронном общении с коллегами;
  • Используйте разные браузеры для ежедневных и финансовых операций. Браузер по умолчанию — Google, Facebook & Co. Отдельный браузер для онлайн-банкинга, бирж и обменников;
  • Вовремя устанавливайте обновления операционной системы и браузера;
  • Настройте и грамотно используйте 2FA. Вторичный метод аутентификации должен быть независим от первого — например, Google Authenticator. Грубо говоря, если ваша backup-фраза записана в текстовом файле на рабочем столе — у вас нет второго фактора;
  • Настройте 2FA на почте, бирже, в Telegram;
  • Используйте для каждого сервиса различные пароли и желательно отдельный email, а еще лучше ограничьте доступ к такому email с другого устройства (телефон).

«Лично я не имею доступа к почте, которая используется для Binance, на которой есть средства. При необходимости подтверждений вывода средств или API-ключа я звоню доверенному человеку, поскольку Telegram может быть взломан, и прошу перейти по подтверждающей ссылке. Таким образом пытаюсь защититься от атак пальцы в двери«, — добавляет Васильчук.

Для повышения личной безопасности рекомендуем:

  • Использовать отдельную учетную запись на рабочем ноутбуке для доступа к финансовым приложениям;
  • Аппаратный 2FA;
  • Аппаратное устройство хранения паролей;
  • Проводить регламентное обновление паролей, backup по календарю;
  • Завести отдельный телефон для узкого круга лиц;
  • Подписаться на рассылки ведущих компаний по кибербезопасности.

Ранее в августе ForkLog сообщал о фишинг-атаке в отношении сотрудника украинской криптовалютной биржи Kuna. Тогда злоумышленники смогли украсть около 1 BTC с двух биржевых аккаунтов жертвы, а также получили доступ к его личной переписке в Telegram.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.

Поделиться:
Источник: forklog.com