криптовалюты
Если вы активно пользуетесь криптовалютой, но все еще качаете торренты и не представляете, как безопасно хранить сид-фразы, то у нас для вас плохие новости. Мы обнаружили новый троян Efimer, который подменяет адреса криптокошельков прямо в буфере обмена. Один клик — и деньги оказываются в кошельке злоумышленников.
Рассказываем, что нужно сделать, чтобы ваша крипта оставалась в безопасности.
Как распространяется Efimer
Один из каналов распространения Efimer — сайты в системе WordPress. Ко всеобщему несчастью, WordPress — бесплатная и самая популярная система для управления веб-сайтами. Ею пользуются все: небольшие блогеры и бизнесы, крупные СМИ и корпорации. Злоумышленники взламывают плохо защищенные сайты и публикуют на них посты с зараженными торрентами.
Как выглядит взломанный сайт на WordPress с Efimer
Когда пользователь скачивает торрент со взломанного сайта, то получает небольшую папку, в которой скрывается нечто, похожее на файл с фильмом — с расширением .xmpeg. Просто так открыть файл в таком формате нельзя, нужен специальный медиапроигрыватель, который заботливо лежит рядом в папке. На самом же деле «проигрыватель» — это установщик трояна.
Торрент-папка с вредоносными файлами
Недавно Efimer также начали распространять через фишинговые рассылки. Владельцам сайтов и доменов приходят письма якобы от юристов, которые требуют удалить контент, нарушающий авторские права. Все детали, по их словам, во вложении письма — и именно там кроется злосчастный троян. Но, даже если у вас нет собственной веб-странички, спам-письмо с Efimer вам все еще может прилететь: для этого злоумышленники собирают почты пользователей с уже взломанных WordPress-сайтов. Поэтому если вам пришлю такое письмо, то открывать вложение в нем мы не рекомендуем.
Как Efimer крадет криптовалюту
Попав на устройство жертвы, один из скриптов Efimer, при наличии у пользователя прав администратора, вносит себя в список исключений встроенного антивируса Windows Defender. После этого троян устанавливает клиент Tor, через который взаимодействует с командным сервером.
Efimer получает доступ к буферу обмена, где ищет сид-фразу — уникальную последовательность слов, которая позволяет восстановить доступ к криптокошельку. Секретную фразу троян сохраняет и отправляет на сервер злоумышленников. А если в буфере оказывается еще и адрес криптокошелька, Efimer незаметно меняет его на подставной. Ну и чтобы пользователь наверняка не заподозрил неладное, обычно подменный адрес максимально похож на оригинальный. Как итог — криптовалюта незаметно уходит к кибернегодяям.
Прежде всего в зоне риска — кошельки с Bitcoin, Ethereum, Monero, Tron и Solana, но владельцам других криптовалют расслабляться тоже не стоит: разработчики Efimer периодически внедряют дополнительные скрипты и добавляют новые криптокошельки. Подробнее о том, на что еще способен Efimer, можно прочитать в разборе Securelist.
Кто под угрозой
Троян атакует пользователей Windows со всего мира. Сейчас зловред наиболее активен в Бразилии, России, Индии, Испании, Германии и Италии, но география атак может расшириться и легко дойти до вашей страны. Особенно насторожиться стоит пользователям криптокошельков, владельцам WordPress-сайтов, а также любителям скачивать фильмы, игры и торренты из Интернета.
Как защититься от Efimer
Троян Efimer — универсал. Он умеет и красть криптовалюты, и подменять криптокошельки, одинаково опасен и для частных пользователей, и для организаций, способен при помощи скриптов взламывать WordPress-сайты и распространяться самостоятельно. При этом во всех случаях заражение устройства возможно только в том случае, если потенциальная жертва сама скачает и откроет вредоносный файл, а значит, внимательность и здоровая бдительность (как минимум, не открывайте файлы, загруженные из подозрительных источников) — лучшие друзья в борьбе с Efimer.
Вот наши рекомендации для домашних пользователей.
- Пользуйтесь надежным защитным решением, которое сможет просканировать файлы на наличие вредоносов и предупредить переход по фишинговой ссылке.
- Создавайте уникальные и сильные пароли. И да, хранить их в заметках — не вариант: обязательно используйте менеджер паролей.
- Включите двухфакторную аутентификацию при авторизации в криптокошельках и на сайтах.
- Не скачивайте файлы с фильмами и играми с непроверенных сайтов: пиратский контент кишит самыми разными троянами. Но, даже если вы решились на такой риск, обратите внимание на расширения файлов: обычный видеофайл точно не будет иметь расширение .exe или .xmpeg.
- Не храните сид-фразы в открытых текстовых файлах — доверьтесь менеджеру паролей. Подробнее о том, как защитить свою криптовалюту, читайте здесь.
Какие еще угрозы бывают в криптомире:
Советы