„Google“ grėsmių žvalgybos („Google Threat Intelligence“) komanda nustatė naują kriptovaliutas vagiančios kenkėjiškos programos atmainą – „Ghostblade“.

Pasak tyrėjų, ji taikosi į „Apple“ iOS įrenginius ir yra „DarkSword“ naršyklės pagrindu veikiančių kenkėjiškų įrankių rinkinio dalis, skirta privačių raktų bei kitos jautrios informacijos vagystėms.

„Ghostblade“ parašyta „JavaScript“ kalba ir sukurta taip, kad duomenis galėtų pavogti kuo greičiau. Aktyvavus kenkėją, iš užkrėsto įrenginio surenkama jautri informacija ir perduodama į piktavalių valdomus serverius, teigiama „Google Threat Intelligence“ vertinime.

Tyrėjai pabrėžia, kad ši kenkėjiška programa neveikia nuolat: ji neįsijungia 24 valandas per parą, jai nereikia papildomų įskiepių, o duomenis išgavusi sustabdo veikimą. Dėl tokio „trenk ir pasitrauk“ veikimo modelio ją aptikti tampa sudėtingiau.

Be to, „Ghostblade“ turi kodo, kuris iš užkrėsto įrenginio pašalina strigčių (crash) ataskaitas. Taip apsunkinama galimybė, kad „Apple“ gautų šiuos duomenis ir identifikuotų kenkėjišką programinę įrangą.

„Google“ nurodo, jog „Ghostblade“ gali pasiekti ir perduoti žinučių duomenis iš „iMessage“ programėlės, taip pat iš „Telegram“ ir „WhatsApp“.

Ataskaitoje taip pat teigiama, kad kenkėjas gali vogti SIM kortelės informaciją, tapatybės duomenis, daugialypės terpės failus ir buvimo vietos (geolokacijos) informaciją, be to, gali pasiekti tam tikrus sistemos nustatymus.

„DarkSword“ ir jo komponentai – vieni naujausių kibernetinio saugumo pavojų, kuriuos identifikavo „Google“ grėsmių tyrėjai. Pasak jų, tai dar kartą parodo, kaip sparčiai kinta metodai, kuriais piktavaliai bando pasisavinti kriptovaliutas ir kitus vertingus naudotojų duomenis.

Vasario nuostoliai nuo kripto įsilaužimų mažėjo, bet daugėja atakų prieš žmonių klaidas

Nors kenkėjiškų programų grėsmės išlieka, bendra kripto įsilaužimų žala vasarį sumažėjo iki 49 mln. JAV dolerių. Sausį ji siekė 385 mln. JAV dolerių, skelbia blokų grandinės žvalgybos platforma „Nominis“.

„Nominis“ vertinimu, šis kritimas rodo pokytį: dalis piktavalių nuo kodo pažeidžiamumų išnaudojimo pereina prie sukčiavimo metodų, paremtų žmogaus klaidomis. Minimi kriptovaliutų „phishing“ bandymai, piniginių „wallet poisoning“ atakos ir kiti vektoriai, kuriais siekiama apgauti naudotojus.

„Phishing“ atakos dažniausiai remiasi netikromis svetainėmis, kurios vizualiai atrodo kaip teisėtos. Tokiose svetainėse neretai naudojami adresai, labai panašūs į tikrų platformų URL, kad vartotojai būtų suklaidinti ir jose apsilankytų.

Pasak ataskaitos, tokios svetainės gali įterpti kenkėjišką kodą, kuris, naudotojui atidarius puslapį ar paspaudus bet kurį jo elementą, gali bandyti išgauti kriptovaliutų privačius raktus ir kitus jautrius duomenis.