Malware zameraný na virtuálne meny: ESET objavil trójskeho koňa kradnúceho Litecoiny

Next story

Bitcoin nie je jedinou virtuálnou menou, na ktorú sa zameriava škodlivý kód. ESET totiž objavil trójskeho koňa, ktorý bol vytvorený na kradnutie meny Litecoin.
Existuje nespočetné množstvo rodín malwaru, ktoré virtuálnu menu Bitcoin dolujú alebo vykrádajú obsah Bitcoin peňaženky svojej obete alebo vykonávajú obe záškodné činnosti. Jednou z posledných malware rodín zameraných na virtuálne meny je Skynet, ktorý ESET deteguje ako Win32/Scoinet. Zrejme najnezvyčajnejšou vlastnosťou tohto trójskeho koňa je to, že C&C servery jeho botnetu bežia ako skryté služby systému Tor. Má to zabezpečiť anonymitu a zmarenie pokusov o jeho sinkholovanie. Na zber prístupových údajov využíva Win32/Scoinet bankového trójskeho koňa Zeus, na dolovanie Bitcoinov zase používa open sourceový softvér CGMiner.
Telemetria ESET LiveGrid naznačuje, že Skynet botnet je relatívne aktívny. Pri monitorovaní tohto botnetu sme si taktiež všimli, že uskutočňoval DDoS útoky na Bitcoinové zmenárne. Túto tému na svojom blogu rozoberala spoločnosť Rapid7. Naša LiveGrid štatistika zaznamenala koncom marca 2013 zvýšenú aktivitu. Tento nárast dáva zmysel, keďže v apríli bolo zaznamenaných niekoľko vĺn DDoS útokov. Zaujímavé je, že najviac detekcií Win32/Scoinetu sme videli v Holandsku.


Klikni na obrázok pre zväčšenie


Ak k tomu pridáme nedávne správy o ESEA, populárnej gamerskej službe, ktorá svojich užívateľov infikovala malwarom dolujúcim Bitcoiny, tak je nám jasné, že virtuálna mena je momentálne zaujímavou témou aj pre tvorcov škodlivého kódu.
Nedávno sme narazili na nového trójskeho koňa, ktorý sa pokúša kradnúť virtuálnu menu Litecoin. Trojan, ktorého ESET deteguje ako MSIL/PSW.LiteCoin.A, je neuveriteľne triviálny. Jeho celá funkcionalita spočíva v pokuse odoslať užívateľov súbor wallet.dat na FTP server útočníka. Kód trojana je napísaný v C#, dekompilovaný vyzerá nasledovne:


Klikni na obrázok pre zväčšenie


Webhostingová služba bola s touto situáciou oboznámená. Pripojenie k útočníkovej doméne v súčasnosti zobrazí nasledovné varovanie:
Podľa našej telemetrie nie je momentálne Win32/PSW.LiteCoin.A veľmi rozšírený. Popularita a počet užívateľov Litecoinu však rastie, mohol by sa preto stať cieľom väčšieho útoku. Táto mladšia peer-to-peer virtuálna mena je založená na Bitcoine, zároveň však ponúka niekoľko vylepšení. Zaujímavosťou je, že najväčšia zmenáreň Bitcoinov, Mt.Gox, v apríli oznámila plány zamieňať aj Litecoiny. Tento zámer bol však pozastavený z dôvodu DDoS útokov zameraných na Mt.Gox. Tieto DDoS útoky boli uskutočňované prostredníctvom už spomínaného botnetu Skynet.
Róbert Lipovský, analytik škodlivého kódu