С помощью несложной техники киберпреступным группировкам удалось похитить более $22 млн в криптовалюте у пользователей кошелька Electrum.

Использование данной техники было впервые зафиксировано в декабре 2018 года, и с тех пор она применяется во многих вредоносных кампаниях. Специалисты издания ZDNet отследили десяток Bitcoin-кошельков, где киберпреступники хранят средства, похищенные у владельцев кошельков Electrum в 2019-2020 годах. Некоторые атаки имели место не далее как в прошлом месяце.

Согласно жалобам пользователей, им стали приходить всплывающие уведомления о необходимости обновить приложение Electrum, и после установки апдейта все хранящиеся в кошельке средства переводятся злоумышленникам.

Используемая киберпреступниками схема эффективна из-за особенностей того, как работает само приложение и его инфраструктура. Для обработки транзакций Electrum подключается к блокчейну Bitcoin через сеть своих серверов под названием ElectrumX. В отличие от других кошельков, контролирующих, кто может управлять этими серверами, экосистема Electrum является открытой, и шлюзовый сервер ElectrumX может настроить кто угодно.

С 2018 года этой возможностью пользуются киберпреступники, которые настраивают вредоносные серверы и ждут, когда к нему случайно подключится жертва. Когда это происходит, на экране ее устройства появляется всплывающее уведомление с ссылкой якобы на загрузку и установку обновления. Как правило, она ведет не на официальный сайт Electrum (electrum.org), а на похожий домен или GitHub.

Если жертва не заметит этого и воспользуется ссылкой, на ее устройство загрузится вредоносная версия кошелька, которая при следующем использовании запросит одноразовый проверочный код. Большинство пользователей не замечают подвоха и предоставляют запрашиваемый код, тем самым давая разрешение на перевод злоумышленникам всего содержимого кошелька.

С декабря 2018 года пользователи сообщили о десяти Bitcoin-кошельках, куда попадают похищенные вышеописанным способом средства. В настоящее время в них хранится 1980 биткойнов – около $22 млн.

Поскольку этот метод был впервые применен еще в 2018 году, разработчики Electrum предприняли несколько шагов для блокировки атаки. Сначала они внедрили для ElectrumX систему черных списков серверов, чтобы блокировать возможность добавления в сеть вредоносных серверов, а также добавили обновление, не позволяющее серверам показывать конечным пользователям форматированные всплывающие HTML-окна.

Источник: securitylab.ru