משקיעים במטבעות וירטואליים? נוזקת כופר חדשה מנצלת את הטרנד
גיל נוילנדר
נוזקת כופר חדשה מתחזה לארנק עבור מטבע מזויף בשם SpriteCoin. בעוד המשתמשים חושבים שהם רוכשים מטבע קריפטו חדש, MoneroPay מצפינה להם את הקבצים במחשב.
הנוזקה שהתגלתה MoneroPay ע"י חוקרי האבטחה של MalwareHunterTeam, הופצה ב-6 בינואר בפוסט שהתפרסם ב-BitcoinTalk, אחד הפורומים הגדולים והמוכרים למטבעות וירטואליים. פוסט זה שימש להכרזה על השקה של מטבע קריפטוגרפי חדש בשם SpriteCoin.
הפוסט בפורום הכיל קישור לאתר לא מקוון שהכיל דף מידע על SpriteCoin עם קישור נוסף לארנק.
MoneroPay fake spritecoin site
אתר מזויף של SpiritCoin. מקור: bleepingcomputer
למרות שהפוסט הוסר מאז, הוא פורסם בדיון בפורום שהוא מקום נפוץ למפתחי מטבעות קריפטו להכרזה על מטבעות חדשים. נושא המטבעות הווירטואליים כל כך חם עכשיו, ויש שיאמרו שמאוד משתלם, כך שכאשר מטבע חדש מושק אנשים רבים ממהרים להוריד את הארנק של המטבע כדי להתחיל לסחור בו לפני שהערך שלו עולה.
לאחר שהמשתמש מוריד ומפעיל את הארנק, הוא נטען ועובר דרך מה שנראה כהגדרה רגילה עבור ארנק חדש.
MoneroPay wallet password
ארנק SpriteCoin. מקור: bleepingcomputer
מכיוון שהיו הרבה התראות שווא לגבי ארנקים דיגיטליים, משתמשים נטרלו את מוצר האנטי וירוס שלהם כאשר הורידו ארנק חדש. נוזקת הכופר החדשה השתמשה בדפוס ההתנהגות הנ"ל על מנת לשתול את נוזקת הכופר מבלי שהמשתמש יבחין בכך, ברגע שהוא מבין שהותקף כבר מאוחר מדי.
MoneroPay מצפינה בשקט קבצים בזמן שהארנק המזויף מסנכרן
כאשר מתקינים ארנק של מטבע דיגיטלי בפעם הראשונה, הארנק צריך להתחבר לרשת של המטבע ולסנכרן את עצמו עם ה-blockchain. תלוי כמה מטבעות כבר נכרו ובמהירות של הרשת, תהליך זה יכול לקחת זמן רב.
בזמן תהליך הסנכרון, התוקפים מתחילים להצפין את המחשב בעוד המשתמש ממתין לסיום תהליך הסנכרון. בגלל שזה בדרך כלל דורש זמן רב ודורש פעולות רבות מהכונן, זה המסווה האולטימטיבי לתהליך ההצפנה של MoneroPay.
MoneroPay fake blockchain synchronization
מסך הסנכרון. מקור: bleepingcomputer
בעת הצפנת הקבצים MoneroPay סיומת הקבצים תשתנה ל encrypted. לדוגמה test.png ישתנה ל - test.png.encrypted.
MonroPay encrypted files
קבצים מוצפנים ע"י MoneroPay. מקור: bleepingcomputer
בעוד נוזקת הכופר פועלת ומצפינה את הקבצים, היא מנסה גם לאחזר סיסמאות המאוחסנות ב- Firefox ו- Chrome. סיסמאות אלה וכן מידע על הקורבן והמחשב שלהם מועלות לשרת שליטה ובקרה של התוקפים הממוקם בכתובת שנמצאת בדארקנט (רשת TOR).
להמשך הכתבה