Понедельник , Сентябрь 24 2018
Домой >> Новости >> Фишеры атаковали пользователей кошельков Jaxx

Фишеры атаковали пользователей кошельков Jaxx

Фишеры атаковали пользователей кошельков Jaxx

Эксперты компании Flashpoint обнаружили фишинговую кампанию, направленную против пользователей криптовалютных кошельков Jaxx. По данным специалистов, операция злоумышленников активна с 19 августа 2018 года.

Согласно официальным данным компании Decentral, разрабатывающей Jaxx, кошелек был скачан более 1,2 млн раз. Он поддерживает работу с Bitcoin, Ethereum и целым рядом альткоинов, а также всевозможные платформы, как десктопные, так и мобильные.

Специалисты Flashpoint пишут, что неизвестные злоумышленники создали сайт jaxx[.]ws в точности имитирующий официальный ресурс jaxx[.]io. Как именно преступники распространяли ссылки на эту подделку (при помощи обычного фишинга или внедряя фейк в поисковики), доподлинно неизвестно. Домен размещался у VPS-хостера hostland[.]ru.

Сайт злоумышленников предлагал пользователям скачать Jaxx для разных платформ (macOS и Windows), и поддельные версии кошелька содержали в себе малварь, устанавливавшуюся в фоновом режиме из Java Archive (JAR) и приложения .NET. Если жертва запрашивала мобильную версию Jaxx, то получала легитимный, незараженный файл. А создание новых кошельков на вредоносном сайте якобы было «временно отключено».

По данным исследователей, малварь могла использоваться не только для кражи криптовалюты с машин под управлением Windows. Также преступники загружали в скомпрометированные системы вредоносов KPOT Stealer и Clipper, продающихся на русскоязычных хакерских форумах. Clipper следит за содержимым буфера обмена, и если там оказывается какой-либо адрес кошелька, малварь подменяет его адресом, принадлежащим атакующим. В свою очередь, KPOT stealer может похищать данные с локальных накопителей.

После запуска .NET приложения, Windows-малварь отправляла на управляющий сервер все найденные в системе файлы TXT, DOC и XLS, среди которых операторы вредоноса, очевидно, искали учетные данные от криптовалютных кошельков. Затем в дело вступали KPOT stealer и Clipper.

JAR-файл для macOS тоже позволяет предположить, что за этой операцией стоят русскоговорящие хакеры, так как для его создания использовался инструмент DevelNext.

После запуска JAR-файла, пользователи получали сообщение о технических проблемах и временной невозможности создания нового кошелька. Также им предлагали указать бэкап-фразу для существующего кошелька Jaxx, узнав которую атакующие получали возможность добраться до средств жертвы. Фраза передавалась на управляющий сервер злоумышленников, а пострадавшему тем временем сообщали, что сервер временно недоступен и рекомендовали попробовать еще раз через 4 часа.

Фишеры атаковали пользователей кошельков Jaxx

Неизвестно, сколько именно пользователей попались на удочку мошенников. Представители Decentral сообщают, что в настоящее время Cloudflare более не предоставляет свои услуги фальшивому сервису, и соответствующие жалобы были направлены хостеру (Hostland) и регистратору (Namesilo), в результате чего фишинговый ресурс прекратил работу и более не представляет опасности.

Смотрите также

Биткоин: валюта идеальной коммунистической экономики или кошмар капитализма?

В «Коммунистическом манифесте» Карл Маркс, излагая свои взгляды на природу общества и экономики, заявил о …

Добавить комментарий