Den Quant Trojan er nu rettet mod Bitcoin cryptocurrency tegnebøger, forskere advarer. Forcepoint forskere for nylig kom på tværs af en aktiv Quant loader admin panel, der var vært på et nyt domæne. Domænet blev også vært flere andre malware prøver.
Ved første, forskerne troede, at alt var ”arbejde som sædvanlig", men efter den indledende undersøgelse konkluderede de, at der var yderligere funktioner tilføjet til læsseren - alle kommer ned til cryptocurrency stjæle.
Quant er et stykke malware, der har eksisteret i temmelig lang tid, og det har ikke meget nyhed at byde. Men, de nyligt opnåede og analyserede prøver viser, at der er flere vigtige forskelle i forhold til tidligere dokumenterede angreb med Locky og Pony kampagner. De nyeste prøver er designet til at hente de samme nyttelast filer fra kommando og kontrol-server.
Afhængigt af de konkrete opgaver på Quant serveren, filerne, der er anført nedenfor er hostet af standard venter på at blive hentet og henrettet:
- bs.dll.c - A cryptocurrency stealer
- sql.dll.c - En godartet SQLite biblioteket på hvilken ’zs.dll.c’ er afhængig
- zs.dll.c - A legitimationsoplysninger stealer
Et kig ind bs.dll.c – den cryptocurrency stjæler
Dette er en lille Borland Delphi baseret bibliotek, der blev udviklet til at udtrække flere mindre kendte cryptocurrency tegnebøger fra ofrets maskiner, foruden Bitcoin.
Det scanner brugerens Application Data mappe for understøttede tegnebøger, ekstraherer information fundet, og overfører den til C2-serveren. At dømme efter de faktiske data på serverne vi undersøgte – og formentlig på grund af det faktum, at nogle af de mere populære valutaer understøttes ikke – denne funktionalitet synes ikke at være særlig frugtbar.
De cryptocurrencies af interesse her er:
- Bitcoin (BTC) – via multibit og Electrum tegnebøger
- Terrasser (TRC)
- Peercoin / PPCoin (PPC)
- Primecoin (XPM)
Et kig ind zs.dll.c – legitimationsoplysninger stjæler
Dette er en Delphi baseret bibliotek skabt for at opnå legitimationsoplysninger til operativsystemer og applikationer. Når adgangskoden scanningen er afsluttet, den udtrukne data overføres til kommando og kontrol-server via en HTTP POST anmodning til en PHP side på serveren side, forskere rapporteret.
De er analyseret af forskerholdet data viser, at den legitimationsoplysninger stjæle kapacitet er noget vellykket på at hente data.
Interessant, begge de stealers beskrevet ovenfor var allerede i udvikling (og aktivt sælges på underjordiske fora) af forfatteren, da Quant loader blev oprindeligt introduceret på malware marked. Det fremgår, at de cyberkriminelle bag de seneste operationer taget beslutningen om at tilføje dem til Quant Loader. Dette kan have været gjort for at øge prisen på hele pakken, og for at gøre det mere fremtrædende ved at tilføje flere funktioner og ondsindede funktionaliteter.
Men, Forskerne påpeger, at især disse to moduler stadig sælges separat i underjordiske fora:
MBS kan købes separat for $100 for en fuld licens og en ekstra $15 for hver opdatering, mens Z * Stealer ville være $100 for en fuld licens med gratis opdateringer, eller $55 for en base licens og en ekstra $15 for hver opdatering. Dette er i forhold til en nylig annonce tilbyder fem fulde Quant licenser til $275.
Det er værd at bemærke, at den nye Quant build har også en lang søvn kommando, som er beregnet til at hjælpe undgå afsløring af antivirus-software og analyse i sandkasse miljøer.
“Målretning cryptocurrency tegnebøger er ikke en særlig ny innovation, og målretning ’offline’ tegnebøger er en relativt veletableret måde at forsøge at stjæle ’mønter’,” forskerne forklarede.
Hvordan sikrer din cryptocurrency tegnebog
Der er, dog, nogle skridt til at overveje for at sikre din cryptocurrency tegnebog for at beskytte den mod hackere og malware angreb.
1. Backup!
Du er nødt til at sikkerhedskopiere dine tegnebøger ligesom du sikkerhedskopiere dine data. Heldigvis, ikke meget plads der kræves til at gemme sikkerhedskopier af Bitcoin tegnebøger. Få mere end én harddisk og USB-sticks. Sørg for at dine tegnebøger er så sikre som de kan være. Faktisk, gøre det til en regel - aldrig tilbage op til bare en ekstern hukommelse og overveje det gjort.
2. Kryptér dine online backup
Husk, at enhver backup gemmes online er modtagelige for tyveri. Desværre, en computer, der er forbundet til internettet er også sårbare over for malware, ransomware og datatyveri. Således, kryptere enhver backup udsat for netværket er en fremragende sikkerhed vane.
3. Krypter din tegnebog, for
Kryptering din tegnebog giver dig mulighed for at angive en adgangskode (der skal være stærk og unik) som vil komme i vejen for uautoriserede enheder forsøger at hæve dine penge. Dette trin hjælper med at beskytte mod tyve, men desværre vil det ikke redde dig fra keyloggers at fange passwords.
Også, Sørg for at aldrig glemme din adgangskode.
4. Hold en offline tegnebog (kølig opbevaring)
Holde en offline tegnebog er den mest sikre metode til besparelser. Det betyder blot, at lagre en tegnebog i et sikret sted, der ikke er forbundet til netværket. Når gjort nøjagtigt, kølerum er også en stor sikkerhedsforanstaltning mod computer sårbarheder. Samlet, en offline tegnebog kombineret med backup og kryptering er det bedste, du kan gøre.
5. Glem alt om din smartphone
Selvom smartphones handler om bekvemmelighed, det er ikke en god idé at bruge det til Bitcoin. Med andre ord, det er en dårlig idé at bruge din smartphone til primær lagring af dine midler. Med hensyn til hvorfor - hvad hvis din telefon faret vild, stjålet eller kompromitteret? Også, Husk, at Sirin Labs, selskabet bag $14,000 Solarin smartphone, arbejder i øjeblikket på en open-source-modellen, kører på et gebyr-mindre blockchain.
6. Beskyt din computer
Opdater det ofte, og installere en stærk anti-malware-program. En sårbar computer direkte truer din krypto tegnebog. En stærk anti-malware program er i stand til at opdage de nyeste former for spyware, Trojans, rootkits, ransomware, keyloggere og andre former for malware, der sætter dine data og cryptocurrency besparelser i risiko for hacking.
SpyHunter scanner vil kun afsløre truslen. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter