Képzelje el, hogy sikeresen befektet és tulajdonosa lesz egy online bányászó farmnak: fizeti a költségeket és ennek fejében a gépek generálják a digitális pénzt minden nap. Mi a következő lépés? Valószínűleg szeretné elkölteni a bevételeit, azaz át kell valamiképp alakítani a virtuális pénznemet igazi pénzzé, amivel már vásárolhat.
Mi történik akkor, ha egy tranzakciót végrehajtanak, azonban a pénz valójában valaki más számláján landol? Az egyelőre szabályozatlan és decentralizált kriptovaluta piacán nem sok esély van arra, hogy egy esetleges rossz vagy hamis tranzakció miatt az elvesztett pénzünket visszakapjuk. Ha ezt tapasztalja, akkor valószínűleg készüléke egy speciális kártékony programmal fertőzött. A Kaspersky Lab friss kutatásai szerint új trend van kialakulóban: megjelentek a kripto-tolvajok, akiknek a célpontjai a digitális pénzbányász farmok.
A kripto-tolvajokat először néhány éve észlelték, azonban ahogy egyre elterjedtebb lett a közelmúltban a „bányászat” világszerte a globális piacokon, újra megjelentek azért, hogy áldozataikat kihasználva gazdagodjanak. A jelenség vizsgálata közben a Kaspersky Lab szakértői új malware-t detektáltak – a CryptoShuffler trójait. Ezt a programot kifejezetten azért írták, hogy a kriptovaluta bányászokat támadja: a pénzváltó művelet közben a tranzakció címét módosítja és ezáltal a bűnöző saját „pénztárcájába” utaltatja a valódi pénzt.
Ezeket az ún. „eltérítő” támadásokat, ahogy azt korábban is láthattuk, főként online fizető rendszerek ellen indítják. A számítógépes szakértők szerint jelenleg még alacsony a digitális valuta elleni támadások száma, de arra számítanak, hogy nőni fog.
A Kaspersky Lab kutatói szerint a CryptoShuffler készítője már egy éve aktív és támadásai majdnem az összes ismert kriptovaluta ellen irányulnak: Bitcoin, Ethereum, Zcash, Dash, Monero. A támadások tetőpontja tavaly év végén volt, ezt követően egy csendes időszak után idén júniusban ismét tevékenyen működött. Eddig összesen kb. 38 millió forintot (140.000 dollárt) loptak el több különböző „pénztárcából”.
A legtöbb kriptovaluta esetében, ha egy felhasználó szeretné átváltani valutáját egy másik pénznembe, akkor a tranzakcióhoz meg kell adni a pénztárca saját azonosítóját – egy egyedi többjegyű digitális számot. A CryptoShuffler pedig épp ezt használja ki egy nagyon egyszerű és hatékony eljárással. A trójai elindulása után a program figyeli a fertőzött készüléket, majd az átváltó tranzakció során a pénztárca azonosító számsorát átírja a bűnöző pénztárcájának azonosító számára. Ennek eredményeként a felhasználó közvetlenül a bűnözőnek utalja a pénzét.
A trójai rendkívül gyorsan képes átírni a számokat, mivel a kriptovaluták többségének a „pénztárca” azonosítója nagyon egyszerű: ugyanolyan a legeleje, valamint a karakterek száma is megegyezik. Emiatt a behatolók könnyedén alkothatnak szokásos kódokat a cserére.
Ezzel a módszerrel a kiberbűnözők a felhasználók figyelmetlenségét használják ki. Fizetés során a felhasználók sokszor nem ellenőrzik az azonosító számokat, sőt valójában ezek igen hosszú számsorok, amelyeket nem egyszerű megjegyezni. Annyi azonban elmondható, hogy egy kis figyelemmel könnyedén megelőzhetőek ezek a visszaélések.
A CryptoShuffler trójai nem az egyetlen malware, amely kriptovalutára vadászik. A Kaspersky Lab legfrissebb a „bányászó botnetekről” szóló jelentése alapján a DiscordiaMiner trójai a Monero valutára szakosodott és az előzetes vizsgálatok azt mutatják, hogy hasonlóságot mutat az idén év elején felfedezett másik trójaival, a NukeBot-tal.
Miként tudja megvédeni a pénztárcáját a hamis tranzakcióktól? A legegyszerűbb módszer, ha ellenőrzi azok minden adatát, főként a címzett adatait. Nem árt, ha tudja, mi a különbség az érvénytelen és a helytelen cím között sem - tanácsolja a Kaspersky Lab.