Microsoft обнаруживает STONEDRIVE: USB-криптоугонщик избегает обнаружения через Tor

Microsoft обнаружила продвинутый вредоносный софт для кражи криптовалюты

 

В условиях растущей обеспокоенности владельцев цифровых активов, Microsoft недавно представила сложный вредоносный софт для кражи криптовалюты, известный внутри компании как STONEDRIVE, который распространяется в основном через зараженные USB-накопители. Вредоносное ПО умело сочетает старые методы распространения с современными стратегиями уклонения, используя сеть Tor для безопасной связи команд и управления. Это развитие было подчеркнуто в недавнем подробном анализе исследователей безопасности Microsoft, подчеркивающем постоянную эволюцию угроз, нацеленных на ценные цифровые активы.

 

Возрождение классического метода распространения через USB-червей

 

Вредоносное ПО STONEDRIVE возрождает классический метод распространения через USB-червей, широко известный по угрозам, таким как Conficker более десяти лет назад. В отличие от многих традиционных вредоносных программ, которые полагаются на вложения в электронные письма или загрузки, STONEDRIVE копирует себя на любой съемный носитель, вставленный в зараженный компьютер. По мере перемещения зараженного USB между компьютерами, файл autorun.inf и связанные с ним исполняемые файлы автоматически запускают заражение на новых системах. Это особенно эффективно там, где функции автозапуска включены или пользователи случайно взаимодействуют с замаскированными папками.

 

Нацеливание на криптовалютные кошельки и конфиденциальные данные

 

После проникновения в систему, STONEDRIVE действует как типичный вор информации, сканируя файлы криптовалютных кошельков, данные расширений браузера и сохраненные учетные данные. Он специально ищет популярные приложения для кошельков, такие как Electrum, Exodus и MetaMask, а также файлы, связанные с программным обеспечением для управления аппаратными кошельками. Наряду с этим, вредоносное ПО извлекает куки браузера, сохраненные пароли и данные автозаполнения, содержащие потенциальные сид-фразы или приватные ключи. Эта собранная информация затем отправляется злоумышленникам через скрытые сервисы Tor, усложняя прямую атрибуцию и усилия по устранению.

 

Продвинутые техники уклонения и обфускации

 

Исследователи Microsoft подчеркивают сложные слои обфускации вредоносного ПО, которые являются ключом к его возможностям уклонения. Начиная с начального загрузчика, несколько этапов зашифрованных полезных нагрузок декодируются последовательно, только после проверки на наличие анализирующих сред. Виртуальные машины и инструменты песочницы обычно запускают антианализные процедуры, побуждая STONEDRIVE либо оставаться в спящем режиме, либо самоуничтожаться. Этот надежный акцент на уклонение объясняет способность кампании действовать незаметно в течение нескольких месяцев до более широкого обнаружения командами безопасности.

 

Роль распространения через USB в нацеливании на изолированные сети

 

Решение использовать распространение через USB предполагает намерение нацелиться на среды с системами, изолированными от интернета, или строгими интернет-контролями. Такие сценарии часто встречаются в корпоративных условиях, исследовательских учреждениях и некоторых фирмах по торговле криптовалютой, где изолированные машины используются для подписания транзакций. Заражая USB-накопители, STONEDRIVE соединяет изолированные сети без необходимости прямого доступа в интернет от этих основных целей. Собранные данные затем извлекаются, как только USB-накопитель подключается к системе с доступом в интернет, все это осуществляется через Tor для безопасной и анонимной связи.

 

Проблемы, вызванные использованием сети Tor

 

Сеть Tor предоставляет значительные преимущества операторам STONEDRIVE. Луковая маршрутизация Tor скрывает реальные местоположения серверов команд и управления, одновременно шифруя трафик вредоносного ПО, что затрудняет работу многих стандартных инструментов безопасности. Вредоносное ПО использует жестко закодированные адреса Tor вместо доменных имен, обходя предупреждения о разрешении DNS. Кроме того, связь происходит через определенные интервалы, ограничивая заметный сетевой след и усложняя усилия по обнаружению поведения.

 

Объем украденных данных и потенциал для более широкого сбора разведывательной информации

 

Анализ украденных данных Microsoft показывает структурированные JSON-полезные нагрузки, содержащие адреса кошельков, приватные ключи (когда доступны) и скриншоты с зараженных устройств. Примечательно, что вредоносное ПО может активировать микрофоны и веб-камеры при определенных условиях, намекая на возможный дополнительный сбор разведывательной информации помимо финансового воровства. Варианты также включают возможности кейлоггинга и мониторинга буфера обмена, последний из которых облегчает распространенную технику захвата буфера обмена, когда скопированные адреса криптовалюты заменяются альтернативами, контролируемыми злоумышленниками, во время транзакций.

 

Смягчение и реагирование на угрозу STONEDRIVE

 

В ответ на угрозу Microsoft координировала действия с правоохранительными органами и распространила индикаторы компрометации через свой Центр разведки угроз. Компания рекомендует отключить функции автозапуска на системах Windows и внедрить групповые политики, чтобы предотвратить автоматический запуск исполняемых файлов на USB-накопителях. Регулярное обучение сотрудников безопасности USB, особенно в отношении неизвестных устройств, имеет решающее значение в секторах, работающих с значительными цифровыми активами.

 

Атрибуция и масштаб киберпреступной группы

 

Начальные выводы предполагают, что за кампанией STONEDRIVE стоит финансово мотивированная группа, а не государственные структуры. Их инфраструктура и модели нацеливания в основном затрагивают англоязычные регионы с высокой степенью принятия криптовалюты, такие как Северная Америка, Западная Европа и Юго-Восточная Азия. Однако метод распространения через USB представляет универсальный риск для любой организации, где распространены поездки или обмен медиа.

 

Рекомендации по усилению мер безопасности

 

Инструменты обнаружения и реагирования на конечных точках могут идентифицировать STONEDRIVE через определенные поведения, такие как необычные процессы, которые быстро получают доступ к файлам кошельков, или неожиданная активность клиента Tor от процессов, не связанных с браузером. Microsoft советует включить защиту от подделки Windows Defender и убедиться, что системы обновлены с последними патчами безопасности, чтобы противостоять эксплуатации старых уязвимостей, которые могут использоваться вредоносным ПО.

 

Последствия для управления и безопасности криптовалюты

 

Угроза STONEDRIVE подчеркивает продолжающееся напряжение между удобством пользователей и безопасностью криптовалюты. Многие пользователи предпочитают держать файлы кошельков доступными, а не надежно хранимыми, непреднамеренно открывая двери для атак вредоносного ПО. Хотя аппаратные кошельки предлагают превосходную безопасность, их программные интерфейсы все еще могут быть нацелены сложным вредоносным ПО. Эксперты по безопасности рекомендуют осторожность с любым USB-устройством, настаивая на том, чтобы они сканировались на выделенных, изолированных машинах перед подключением к операционным системам.

 

Изучение рисков цепочки поставок в секторе криптовалюты

 

Более широкие последствия кампании STONEDRIVE освещают потенциальные уязвимости цепочки поставок в области криптовалюты. Разработчики, получающие зараженные USB-накопители из внешних источников, рискуют распространить вредоносное ПО в средах разработки. В таких сценариях компрометация ключей подписи или сид-фраз может привести к серьезным финансовым последствиям. В результате некоторые блокчейн-проекты пересматривают свои протоколы использования USB после предупреждения Microsoft.

 

Будущие прогнозы и постоянная бдительность

 

Исследователи продолжают следить за новыми вариантами STONEDRIVE, поскольку операторы, вероятно, адаптируются в ответ на усиленное внимание. Модульный дизайн вредоносного ПО позволяет легко обновлять его, включая новые стратегии уклонения и цели без необходимости полной переработки кода. Будущие итерации могут включать функции вымогательского ПО или интеграцию с ботнетами для расширенного распространения.

 

Заключение: балансировка исторического опыта с современными практиками безопасности

 

Кампания STONEDRIVE демонстрирует, как прошлые тактики заражения могут сохранять актуальность в условиях развивающихся цифровых ландшафтов. Несмотря на то, что это более старый вектор угроз, USB остается надежным методом передачи данных, который злоумышленники эффективно используют. Сочетание распространения через физические носители с современными сетевыми протоколами представляет собой сложную угрозу, которая переплетает низкотехнологичные и высокотехнологичные компоненты.

 

Командам безопасности необходимо пересмотреть протоколы обнаружения и усилить обучение пользователей по поводу воспринимаемых устаревших рисков. Операция STONEDRIVE служит ярким напоминанием о том, что киберпреступники изучают исторические успехи, повторно применяя эти стратегии против современных целей. Бдительность в цифровых и физических средах имеет решающее значение для защиты ценных цифровых активов от компрометации, особенно по мере того, как технология блокчейн набирает популярность в основных финансовых и цепочках поставок. Через совместные усилия в области исследований и обмена разведывательной информацией сообщество кибербезопасности может работать над тем, чтобы нарушить такие кампании до того, как они нанесут значительный ущерб развивающейся цифровой экономике.