Криптовалютні дрейнери стали однією з найбільш небезпечних загроз у світі цифрових активів. Ці шкідливі програми здатні миттєво спорожнити криптогаманці користувачів, залишивши їх без коштів та можливості відновлення втрачених активів.

Що таке криптовалютні дрейнери

Дрейнер (від англ. “drain” – висушувати, спорожнювати) – це тип шкідливого програмного забезпечення, розробленого спеціально для крадіжки криптовалютних активів. На відміну від традиційних вірусів, дрейнери мають вузьку спеціалізацію: вони націлені виключно на отримання доступу до криптогаманців та швидке переведення всіх наявних коштів на адреси зловмисників.

Особливістю дрейнерів є їх здатність працювати з різними типами гаманців – від програмних розширень браузера до мобільних додатків. Вони можуть розпізнавати та взаємодіяти з популярними гаманцями, такими як MetaMask, Trust Wallet, Coinbase Wallet та десятками інших.

Механізм роботи дрейнерів

Дрейнери використовують кілька основних методів для отримання контролю над гаманцями:

• Фішинг та соціальна інженерія залишаються найпоширенішими способами поширення дрейнерів. Зловмисники створюють підроблені веб-сайти, які імітують популярні криптовалютні платформи, DEX-биржі або NFT-маркетплейси. Коли користувач намагається підключити свій гаманець до такого сайту, дрейнер отримує доступ до приватних ключів або seed-фраз.
• Експлуатація вразливостей у смарт-контрактах дозволяє дрейнерам обходити стандартні механізми захисту. Вони можуть використовувати помилки в коді контрактів для створення несанкціонованих транзакцій або отримання прав на розпорядження коштами користувачів.
• Підміна буфера обміну – це метод, при якому дрейнер відстежує, коли користувач копіює адресу гаманця, та автоматично замінює її на адресу зловмисника. Це призводить до того, що кошти відправляються не за призначенням, а прямо в руки шахраїв.

Основні канали поширення

Дрейнери поширюються через різноманітні канали, що робить їх особливо небезпечними для широкого кола користувачів.

Соціальні мережі стали основним майданчиком для поширення шкідливих посилань. Зловмисники використовують привабливі пропозиції – безкоштовні дропи токенів, ексклюзивні NFT-колекції, або можливості раннього доступу до нових проектів. Twitter, Discord, Telegram та інші платформи рясніють подібними пропозиціями.

Підроблені веб-сайти досягли неймовірного рівня деталізації. Сучасні фішингові сайти можуть бути майже неможливими для розрізнення від оригінальних платформ. Вони копіюють не лише дизайн, але й функціональність, створюючи ілюзію повної автентичності.

Електронна пошта та месенджери використовуються для розсилки персоналізованих повідомлень, які часто містять терміново важливу інформацію про начебто проблеми з гаманцем або необхідність негайної верифікації.

Технічні особливості сучасних дрейнерів

Сучасні дрейнери демонструють високий рівень технічної досконалості. Вони здатні автоматично визначати тип підключеного гаманця та адаптувати свою поведінку відповідно. Багато дрейнерів можуть працювати з десятками різних блокчейнів одночасно, включаючи Ethereum, Binance Smart Chain, Polygon, Avalanche та інші.

Особливо небезпечними є дрейнери, які використовують технології машинного навчання для аналізу активності користувача. Вони можуть визначати найбільш цінні активи в гаманці та оптимізувати порядок їх крадіжки, щоб максимізувати прибуток до того, як користувач помітить підозрілу активність.

Деякі дрейнери також оснащені функціями ухилення від детектування. Вони можуть маскуватися під звичайні транзакції, використовувати затримки між операціями та навіть аналізувати поведінку користувача, щоб діяти в найменш підозрілі моменти.

Методи захисту

Захист від дрейнерів вимагає комплексного підходу та постійної обережності. Найважливішим правилом є ніколи не вводити seed-фразу або приватні ключі на сторонніх сайтах. Навіть якщо сайт виглядає абсолютно автентично, завжди слід перевіряти URL-адресу та використовувати лише офіційні посилання.

Використання апаратних гаманців значно підвищує рівень безпеки. Ledger, Trezor та інші hardware wallets зберігають приватні ключі в ізольованому середовищі, що робить їх практично недоступними для дрейнерів. Навіть якщо комп’ютер користувача буде скомпрометований, апаратний гаманець залишиться захищеним.

Регулярне оновлення програмного забезпечення, включаючи браузери та розширення гаманців, допомагає закрити відомі уразливості. Розробники постійно працюють над покращенням захисту, тому важливо завжди використовувати найновіші версії.

Створення окремих гаманців для різних цілей – це ефективна стратегія зниження ризиків. Один гаманець може використовуватися для довгострокового зберігання великих сум, інший – для повсякденних транзакцій, а третій – для взаємодії з новими або менш надійними платформами.

Що робити у разі атаки

Якщо ви підозрюєте, що стали жертвою дрейнера, швидкість реакції є критично важливою. Перш за все, слід негайно відключитися від інтернету та закрити всі браузери. Це може зупинити подальші несанкціоновані транзакції.

Наступним кроком є перевірка всіх активних підключень гаманця до різних dApps та сайтів. Більшість сучасних гаманців дозволяють переглядати та відкликати дозволи, надані стороннім додаткам. Слід негайно відкликати всі підозрілі або невідомі підключення.

Якщо в гаманці ще залишилися активи, їх слід терміново перевести на новий, безпечний гаманець. При цьому важливо використовувати інший пристрій або повністю очищений комп’ютер.

Документування всіх втрат та збереження доказів може знадобитися для звернення до правоохоронних органів або для цілей оподаткування. Хоча відновлення втрачених коштів у криптовалютних мережах зазвичай неможливе, фіксація інциденту може бути корисною в майбутньому.

Майбутні тенденції

Загроза дрейнерів продовжує еволюціонувати разом з розвитком криптовалютного простору. Очікується, що зловмисники будуть все активніше використовувати штучний інтелект для створення більш переконливих фішингових сайтів та персоналізованих атак.

Водночас індустрія працює над покращенням захисту. Нові стандарти безпеки, такі як EIP-3074 та Account Abstraction, обіцяють кращий контроль над транзакціями та додаткові рівні захисту для користувачів.

Розвиток децентралізованих систем ідентифікації також може зіграти важливу роль у боротьбі з дрейнерами. Вони дозволять користувачам більш безпечно взаємодіяти з dApps без необхідності довіряти кожному сайту повний доступ до своїх активів.

Криптовалютні дрейнери представляють серйозну загрозу для всієї екосистеми цифрових активів. Тільки поєднання технологічних рішень, освіти користувачів та постійної пильності може забезпечити ефективний захист від цих небезпечних програм. Кожен учасник криптовалютного простору повинен розуміти ризики та вживати належних заходів для захисту своїх активів.

Ця стаття Криптовалютні дрейнери: нова хвиля крадіжок гаманців раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Зазвичай не варто зберігати скріншоти з конфіденційною інформацією на телефоні, але, якщо вони у вас є, варто їх видалити, особливо якщо вони пов’язані з вашим криптогаманцем.

Новий троян-шпигун під назвою SparkKitty націлений на інформацію зі скріншотів, збережених у вашій галереї. Цей шпигун, ймовірно, пов’язаний із сумнозвісним викрадачем даних SparkCat, який з’явився раніше цього року, та зосереджується на конфіденційних даних, таких як seed-фрази для криптогаманців.

За даними дослідників з кібербезпеки, шкідливе ПЗ націлене на пристрої iOS та Android. Хоча шкідливе ПЗ поширювалося через App Store та Google Play Store (і було видалене з обох), воно також поширюється природним шляхом.

Що таке SparkKitty?

Ось як працює це шкідливе ПЗ. Дослідники виявили одну версію трояна, яка копіює всі зображення у вашій галереї, та іншу, яка використовує OCR для пошуку зображень, пов’язаних саме з фінансовою інформацією.

Якщо у вас є криптовалюта, вас, ймовірно, заохочували записати seed-фразу під час створення гаманця та зберігати її в безпечному, автономному місці. Ця фраза є ключовою для відновлення гаманця та його вмісту на іншому пристрої, що робить її привабливою ціллю для злодіїв. Хоча записування фрази є оптимальним варіантом, багато людей роблять скріншот, щоб пізніше її згадати.

Шкідливе ПЗ надходить із завантажень, які виглядають легітимно, включаючи месенджери, додатки для торгівлі криптовалютою, модифіковані клони TikTok, фальшиві онлайн-магазини криптовалют, додатки для азартних ігор, ігри для дорослих та казино-додатки.

Якщо ви випадково встановите це програмне забезпечення, воно просканує вашу галерею та надішле ваші дані зловмисникам, які можуть очистити ваш гаманець або атакувати інші ваші облікові записи.

Як захиститися від SparkKitty

Якщо ви хочете захистити себе від цього (або будь-якого іншого) шкідливого ПЗ, ви можете виконати кілька кроків:

• Перейдіть до налаштувань телефона та перевірте дозволи кожного додатка. Відкличте доступ до камери, фотографій, сховища та функцій доступності, якщо додаток цього не потребує (наприклад, додатку для шпалер не потрібен доступ до ваших файлів).
• Встановлюйте додатки лише з офіційних магазинів, таких як Google Play та App Store (але навіть тоді пам’ятайте, що шкідливе ПЗ може просочитися, як це сталося зі SparkKitty).
• Не зберігайте скріншоти конфіденційної інформації, такої як посвідчення особи, паспорти, криптогаманці, seed-фрази, паролі та резервні коди двофакторної автентифікації. Або видаліть ці дані, або перемістіть скріншоти до папки, захищеної паролем.

Ця стаття Новий троян-шпигун SparkKitty полює за інформацією з ваших скріншотів в телефоні раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Користувачі криптовалютного гаманця MetaMask стали жертвами поточної фішинговою кампанії, в рамках якої злочинці використовують рекламу Google для розкрадання грошових коштів. Постраждалі втратили свої накопичення після натискання на шахрайське оголошення.

Всі повідомлення постраждалих описують один і той же сценарій – гроші пропали після спроби встановити розширення для сайту MetaMask. Користувач переходить на підроблену фішингову сторінку MetaMask через рекламу Google. Опинившись на сторінці, йому пропонується встановити розширення, яке нібито дасть можливість або імпортувати існуючий гаманець, або створити новий. Якщо користувач натисне кнопку “Створити гаманець”, він потрапить на справжній сайт MetaMask.io. Однак, якщо він натисне на опцію “Імпортувати гаманець”, йому буде запропоновано ввести ключову фразу свого існуючого гаманця, яка потім буде відправлена ​​зловмисникові. Як тільки шахрай отримає кодову фразу, він приступить до розкрадання коштів з гаманця жертви.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Шахраї крадуть кошти з криптогаманця за допомогою реклами Google раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

У віртуальних гаманцях на відміну від своїх класичних аналогів гроші фактично не зберігаються. Криптогаманець містить закритий ключ для контролю віртуальних коштів та токени для здійснення транзакцій. При цьому, безпека коштів користувачів більшою мірою залежить від надійності базового коду. Саме тому розробники під час створення таких гаманців намагаються поєднати безпеку з простотою використання, конфіденційністю та іншими популярними функціями. Останні в свою чергу часто спричиняють проблеми із захистом криптогаманця.

Після зламу одного з гаманців Binance користувачі платформи втратили до 7 000 Bitcoin, а також коди багатофакторної аутентифікації та ключі API. Втрата кодів багатофакторної аутентифікації збільшує ризики викрадення коштів користувачів та може дорого обійтися компаніям, пише ESET.

Цей злам продемонстрував, що більш уразливими до різних онлайн-загроз є криптогаманці, доступ до яких можна отримати через Інтернет. Для розгортання шкідливого коду зловмисники використовують поширені звички користувачів, зокрема повторне використання слабких паролів або натискання на підозрілі посилання. Розглянемо найпоширеніші загрози для власників криптогаманців.

Шкідливі програми, які замінюють вміст буфера обміну

Цей тип шкідливого програмного забезпечення кіберзлочинці використовують, щоб приховано замінити вміст буфера обміну, скориставшись поширеною дією копіювання та вставки. Вперше таку загрозу було виявлено у магазині Google Play у вигляді додатку MetaMask. Шкідлива програма замінювала адреси гаманців Bitcoin та Ethereum, скопійовані в буфер обміну, на адреси, що належать зловмисникам.

Схожий прийом був використаний у фальшивій версії браузера Tor для викрадення криптовалюти під час відвідування користувачами даркнет-ринків. Це дозволило операторам шкідливої ​​програми викрасти близько 4,8 Bitcoin.

Для обходу захисту криптогаманця зловмисники приховано замінювали вміст буфера обміну.

Підроблені сторінки для входу

Кіберзлочинці часто поширюють фальшиві версії популярних криптогаманців для мобільних пристроїв або для відомих бірж криптовалют. Ідея подібних шкідливих кампаній полягає в тому, щоб заповнити нішу, яку залишили відомі торгові марки, та охопити більше потенційних жертв.

Після завантаження одного з підроблених гаманців криптовалют користувачі переходять на сторінку для входу в систему. Часто такі сторінки є фішинговими та використовуються для викрадення закритих ключів користувача, які потрібні для отримання контролю над гаманцем.

Деякі кіберзлочинці використовують гаманці, які дозволяють управляти кількома криптовалютами для торгівлі на біржі — ідеальний спосіб отримати доступ до інших ваших гаманців. Серед відомих фальшивих додатків — Trezor, який пропонує один гаманець для кожної підтримуваної криптовалюти (всього 13 гаманців). Крім цього, існують шкідливі мобільні додатки, які намагаються накладати фальшиві сторінки для входу на справжній гаманець або інші фінансові програми.

Шкідливі посилання

Поширеними серед кіберзлочинців стали гомографічні атаки, які передбачають створення доменів, схожих на відомі сайти. Насправді ж більшість таких посилань є фішинговими. За даними телеметрії ESET, за другий квартал 2020 року найбільш популярними доменами серед зловмисників стали blockchain.com та binance.com.

Іншим способом здійснення фішингу є надсилання спам-повідомлень зі шкідливими посиланнями, натискання на які часто призводить до завантаження банківських троянів, таких як Mekotio. Деякі варіанти цієї шкідливої програми можуть викрадати Bitcoin, замінюючи адресу вашого гаманця в буфері обміну. В інших випадках зловмисники використовують програми для зчитування натиснень клавіатури.

Використання торрент-сайтів для завантаження програмного забезпечення та ігор також може бути небезпечним. Саме на таких сайтах зловмисники часто поширюють шкідливе програмне забезпечення, як у випадку з загрозою KryptoCibule. Ця шкідлива програма дозволяла кіберзлочинцям перехоплювати транзакції користувача, замінюючи адреси гаманців в буфері обміну, а також викрадати будь-які файли, пов’язані з криптовалютою, на пристрої жертви.

Шахрайство

Деякі користувачі для зменшення ризиків викрадення чи інфікування криптогаманців використовують гаманець без доступу в Інтернет, наприклад Ledger. У таких випадках користувачі часто незадоволені зручністю використання додатків. З метою покращити використання криптогаманців кіберзлочинці пропонують завантажити розширення Google Chrome чи Firefox, які інтегрують гаманець Ledger з браузером.

Для маніпулювання потенційними жертвами зловмисники використовують подібні повідомлення: “Тепер ви можете отримати доступ до функцій гаманця безпосередньо з браузера для швидкого та легкого здійснення транзакцій з криптовалютою. Для реєстрації вам потрібно просто поділитися своєю фразою відновлення”.

Дізнавшись фразу відновлення, зловмисники можуть швидко клонувати апаратний гаманець та отримати доступ до коштів його власника. За деякими даними, загальні збитки від цього виду шахрайства перевищують 250 000 доларів.

Кіберзлочинці постійно удосконалюють свої методи інфікування, знаходячи нові слабкі місця користувачів чи уразливості у системі безпеки додатків.

Щоб зменшити ризики викрадення віртуальних коштів та допомогти забезпечити захист криптогаманців, спеціалісти рекомендують дотримуватися наступних правил:

• Постійно оновлюйте пристрої та використовуйте надійне рішення з безпеки як для ПК, так і для вашого мобільного пристрою, які володіють функцією Безпека онлайн-платежів для захисту криптогаманців чи інших фінансових програм.
• Перед завантаженням криптогаманця відвідайте офіційний сайт сервісу та дізнайтеся про наявність додатку.
• Під час завантаження криптогаманця з Google Play перевірте кількість завантажень, його рейтинги та відгуки. Будьте обережними з новими додатками, які мають занадто багато позитивних відгуків.
• Використовуйте багатофакторну аутентифікацію для додаткового захисту криптогаманця.
• Будьте уважні під час введення фрази та ключа відновлення криптогаманця.
• Вводьте адресу гаманця вручну, не використовуючи копіювання та вставку. А після введення не забувайте перевіряти правильність написання адреси.
• Дізнайтеся, чи пропонує постачальник додатку захист чи страхування користувачів на випадок втрати коштів.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Як захистити Ваші криптогаманці? Поради раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Глава відділення з кібербезпеки компанії Google Марк Рішер (Mark Risher) застеріг власників криптовалюти від надмірного хизування в Інтернеті своїм інвестиційним портфелем з цифровими валютами, пише MyCrypter з посиланням на bitcoin.com.

Рішер попередив, що реклама віртуальних багатств призводить до підвищеної уваги шахраїв і хакерів і, як результат, кібернетичних атак. Останнім часом власники криптовалютних гаманців стали пріоритетними цілями для кіберзлочинців.

Спеціаліст з кібербезпеки стверджує, що більшість таких нападів починаються з необережних повідомлень, зроблених жертвою на загальнодоступних сайтах або в соціальних мережах.

«Хакери можуть використовувати менш захищених інвесторів, щоб здійснити атаку на більш значиму ціль. Вони просто можуть побачити, що інвестор обговорює біткоїни в соціальній мережі», – розповів Рішер.

Експерт також попередив, що вдосконалення технічних можливостей соціальних мереж дозволяє хакерам використовувати більш витончені шляхи для відстеження жертв. Злочинець може ретельно і тривалий час досліджувати інвесторів, які його зацікавили.

Шахраї давно відійшли від схеми простого звернення за допомогою до довірливих людей при вирішенні надуманих проблем. Багато хакерів дуже докладно і серйозно вивчають майбутню жертву.

Також останнім часом поширеними стали атаки на користувачів Youtube, які отримують криптовалюту. За заявою одного з популярних ютуберів – провідного каналу «Децентралізоване телебачення» Пітера Саддінгтона (Peter Saddington), відповідальність при цьому лежить безпосередньо на власникові криптовалюти:

«У нас тепер немає банку, в який ми можемо прийти і заявити, що у нас вкрали гроші. Ми більше не в цій економіці. Якщо ви втратили свої біткоїни – це на 100% ваша провина».

Ця стаття Як власникам криптовалюти не стати жертвою кіберзлочинців, – порада експерта раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар