O Quant Trojan agora tem como alvo as carteiras de criptomoedas Bitcoin, pesquisadores alertam. Pesquisadores da Forcepoint encontraram recentemente um painel de administração do Quant loader ativo que estava hospedado em um novo domínio. O domínio também hospedava várias outras amostras de malware.
No início, os pesquisadores pensaram que tudo estava “negócios, como sempre”, mas após a investigação inicial, eles concluíram que havia recursos adicionais adicionados ao carregador - todos chegando a roubo de criptomoeda.
Quant é um malware que já existe há algum tempo e não tem muitas novidades a oferecer. Contudo, as amostras recém-obtidas e analisadas mostram que existem várias diferenças importantes em comparação com ataques documentados anteriores envolvendo campanhas de Locky e Pony. Os exemplos mais recentes são projetados para baixar os mesmos arquivos de carga útil do servidor de comando e controle.
Dependendo das tarefas reais no servidor Quant, os arquivos listados abaixo são hospedados por padrão esperando para serem baixados e executados:
- bs.dll.c - Um ladrão de criptomoedas
- sql.dll.c - Uma biblioteca SQLite benigna da qual ‘zs.dll.c’ é dependente
- zs.dll.c - Um ladrão de credenciais
Uma olhada em bs.dll.c – o ladrão de criptomoedas
Esta é uma pequena biblioteca baseada em Borland Delphi que foi desenvolvida para extrair várias carteiras de criptomoedas menos conhecidas das máquinas da vítima, além de Bitcoin.
Ele verifica o diretório de dados do aplicativo do usuário em busca de carteiras compatíveis, extrai a informação encontrada, e transfere para o servidor C2. A julgar pelos dados reais nos servidores que examinamos – e presumivelmente devido ao fato de que algumas das moedas mais populares não são suportadas – esta funcionalidade não parece ser particularmente proveitosa.
As criptomoedas de interesse aqui são:
- Bitcoin (BTC) – via carteiras MultiBit e Electrum
- Terracoin (TRC)
- Peercoin / PPCoin (PPC)
- Primecoin (XPM)
Uma olhada em zs.dll.c – o ladrão de credenciais
Esta é uma biblioteca baseada em Delphi criada para obter credenciais para sistemas operacionais e aplicativos. Assim que a verificação da senha for finalizada, os dados extraídos são transferidos para o servidor de comando e controle por meio de uma solicitação HTTP POST para uma página PHP no lado do servidor, pesquisadores relataram.
Os dados analisados pela equipe de pesquisa mostram que a capacidade de roubo de credenciais tem algum sucesso na recuperação de dados.
Curiosamente, ambos os ladrões descritos acima já estavam em desenvolvimento (e vendido ativamente em fóruns clandestinos) pelo autor quando o Quant loader foi inicialmente introduzido no mercado de malware. Parece que os cibercriminosos por trás das operações recentes tomaram a decisão de adicioná-los ao Quant Loader. Isso pode ter sido feito para aumentar o preço de todo o pacote, e para torná-lo mais proeminente, adicionando mais recursos e funcionalidades maliciosas.
Contudo, pesquisadores apontam que particularmente esses dois módulos ainda são vendidos separadamente em fóruns clandestinos:
MBS pode ser comprado separadamente por $100 para uma licença completa e um adicional $15 para cada atualização enquanto Z * Stealer seria $100 para uma licença completa com atualizações gratuitas, ou $55 para uma licença básica e um adicional $15 para cada atualização. Isso é comparado a um anúncio recente que oferece cinco licenças Quant completas para $275.
É importante notar que a nova compilação do Quant também tem um comando de suspensão demorado que visa ajudar a evitar a detecção por software antivírus e análise em ambientes sandbox.
“A segmentação de carteiras de criptomoedas não é uma inovação particularmente nova, e segmentação "offline’ carteiras é uma forma relativamente bem estabelecida de tentar roubar "moedas",” os pesquisadores explicaram.
Como proteger sua carteira de criptomoeda
tem, Contudo, algumas etapas a serem consideradas para proteger sua carteira de criptomoedas para protegê-la de hackers e ataques de malware.
1. Cópia de segurança!
Você precisa fazer backup de suas carteiras da mesma forma que faz backup de seus dados. Felizmente, não é necessário muito espaço para armazenar backups de carteiras Bitcoin. Obtenha mais de um disco rígido e pen drives. Certifique-se de que suas carteiras são tão seguras quanto podem ser. De fato, faça disso uma regra - nunca faça backup em apenas uma memória externa e considere isso feito.
2. Criptografe seus backups online
Lembre-se de que qualquer backup armazenado online é suscetível a roubo. Infelizmente, um computador conectado à Internet também é vulnerável a malware, ransomware e roubo de dados. portanto, criptografar qualquer backup exposto à rede é um excelente hábito de segurança.
3. Criptografe sua carteira, também
Criptografar sua carteira permite que você defina uma senha (que deve ser forte e único) que irá atrapalhar entidades não autorizadas que tentam retirar seus fundos. Esta etapa ajuda a proteger contra ladrões, mas, infelizmente, não o salvará de keyloggers que capturam senhas.
Além disso, certifique-se de nunca esquecer sua senha.
4. Mantenha uma carteira offline (armazém frio)
Manter uma carteira offline é o método mais seguro para economizar. Significa simplesmente armazenar uma carteira em um local seguro que não esteja conectado à rede. Quando feito com precisão, armazenamento frio também é uma ótima medida de segurança contra vulnerabilidades de computador. No geral, uma carteira offline combinada com backups e criptografia é a melhor coisa que você pode fazer.
5. Esqueça o seu smartphone
Mesmo que os smartphones sejam convenientes, não é uma boa ideia usá-lo para Bitcoin. Em outras palavras, é uma má ideia usar seu smartphone para armazenamento principal de seus fundos. Por que - e se seu telefone se perder, roubado ou comprometido? Além disso, tenha em mente que o Sirin Labs, a empresa por trás do $14,000 Smartphone solarin, está trabalhando em um modelo de código aberto, executando em um blockchain sem taxas.
6. Proteja seu computador
Atualize com frequência, e instalar um programa anti-malware forte. Um computador vulnerável coloca diretamente em risco sua carteira de criptografia. Um programa anti-malware potente é capaz de detectar as formas mais recentes de spyware, Trojans, rootkits, ransomware, keyloggers e outros tipos de malware que colocam seus dados e economias de criptomoeda em risco de hacking.
digitalizador SpyHunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter