Недавно команда безопасности KuCoin обнаружила и проверила Bitcoin Find and Recover 1.x — это троянский вирус, маскирующийся под инструмент восстановления криптовалют.
Это программное обеспечение побуждает пользователей загружать и устанавливать его, маскируясь под обычное программное обеспечение. После установки инструмент автоматически выпустит вредоносную программу, которая запускается при загрузке и работает в фоновом режиме, крадя информацию из буфера обмена пользователя, скриншоты, зашифрованные адреса валют и закрытые ключи, что приводит к серьезным потерям зашифрованных активов пользователей.
Ниже приведен анализ трояского вируса командой KuCoin. Мы надеемся, что все пользователи смогут повысить свою осведомленность о безопасности и защитить свои активы, узнав об этом вредоносном программном обеспечении.
1. Как команда безопасности KuCoin обнаружила скрытый троянский вирус
1.1. Поиск по ключевым словам, связанным с “BTC Recover”, мы смогли найти один инструмент восстановления BTC под названием Bitcoin Find and Recover 1.x.
1.2. Во время установки не было обнаружено никаких отклонений от нормы. После установки инструмент открывается нормально и, по-видимому, работает так, как было объявлено.
1.3 При проверке информации о процессе в разделе “Системный Процесс” появляется несколько подозрительных процессов svchost.exe. Один из процессов вызывает bitadmin для загрузки неизвестной программы с именем Iobit.exe.xxx с неизвестного адреса звонили https://getyourdogsintime.xyz. Еще один подозрительный процесс называется Io.exe работает в фоновом режиме. Файл скрыт в каталоге, связанном с Java, и можно легко определить, что проблема существует с процессом Io.exe.
2. Как вредоносная программа проводит атаки на компьютер
2.1. Захватывает скриншоты
Эта вредоносная программа будет находить информацию, связанную с поиском криптовалют, сопоставляя и делая скриншоты таких вещей, как текстовое содержимое, имена файлов, регулярное сопоставление, суффиксы файлов, папки и регистрационные данные.
2.2. Крадет все скопированное и вставленное
Этот троянский вирус будет красть пользовательские данные, контролируя системный буфер обмена.
2.3. Загружает файлы и выполняет их
Как только вредоносная программа загружена, злоумышленник может отправить файл загрузки и исполняемые атаки с помощью удаленных команд.
Команда безопасности KuCoin проанализировала вредоносную программу и определила, что эта программа является полностью функциональным троянским вирусом для криптовалют, который маскируется под обычные процессы, чтобы никогда не ослаблять контроль над своими жертвами.
Эта вредоносная программа использует библиотеки динамических ссылок Inet.dll, которую он выпустил самостоятельно, и логика кода в Helper.dll для получения соответствующих файлов и данных, а затем шифрует и передает их. Он скрывает адрес доменного имени, динамически изменяя доменное имя и статический домен по нескольким каналам.
3. Рекомендации по обеспечению безопасности активов пользователей
Поскольку вредоносные программы в комплекте или замаскированные под обычное программное обеспечение труднее обнаружить, команда безопасности KuCoin рекомендует пользователям не загружать и не запускать связанные с криптовалютой программы и коды с неизвестных веб-сайтов и остерегаться связанных с KuCoin установочных пакетов программ из неофициальных каналов.
Пользователям также рекомендуется правильно хранить и шифровать информацию об активах. Не храните информацию, связанную с закрытыми ключами, на персональных компьютерах или в облаке, чтобы предотвратить потерю данных или повреждение имущества, вызванное хакерскими атаками.