Хакеры организовывают фишинг-атаки под видом сотрудников редакции ForkLog

Дисклеймер

Будьте бдительны, редакция ForkLog общается с читателями и клиентами только через официальные аккаунты! Для защиты наших читателей от такого вида атак мы приводим подробное описание инцидента.

Основатель криптовалютной биржи Codex и CEO Attic Lab Сергей Васильчук едва не стал жертвой фишинговой атаки, которую злоумышленники пытались провести под видом сотрудника редакции ForkLog.

Примечательно, что это уже третий инцидент в череде атак на топ-менеджеров биткоин-бирж за последнее время. До этого жертвами чуть не стали сотрудники Coinbase.

Хронология событий

8 августа Сергей Васильчук получил в Telegram сообщение от пользователя с ником Vlad Artemov, представившегося сотрудником редакции ForkLog (здесь и далее орфография и пунктуация авторская):

Добрый вечер, Сергей! Меня зовут Влад Артемов и я представляю интересы компании ForkLog. Ваши контакты мне были любезно предоставлены Вашим саппортом. Мы бы хотели разместить пост с обзором вашего сайта на нашем новостном ресурсе. ForkLog — самое крупное русскоязычное интернет-издание о криптовалютах и блокчейне, что гарантирует успех нашим клиентам. Хотелось бы обсудить с Вами детали нашей статьи — я с радостью отвечу на все Ваши вопросы в любое удобное для Вас время. С Уважением,
Артем, команда ForkLog

Обратите внимание, что злоумышленник в одном письме представился сразу двумя именами.

Однако, по словам Васильчука, он не придал особого значения этому сообщению, так как в этот момент маркетинговый отдел его компании действительно взаимодействовал с ForkLog по ряду публикаций. В конечном итоге он ответил «нашему сотруднику»:

Влад приветствую, я знаю Forklog с тех пор когда Каплан еще сам был.
У нас есть группа , в которой человек 5 из Форклога и там же наш CMО

Спустя сутки, 9 августа, Влад-Артем прислал ответное сообщение:

Добрый вечер, Сергей! Мы все обсудили с Александром. Я отправлю Вам ссылку на онлайн просмотр статьи о Вашей компании по готовности. Благодарю Вас за сотрудничество.

13 августа он написал следующее:

Здравствуйте, Сергей! Напишите, пожалуйста, когда вы будете за компьютером, чтобы Вам было удобно принять ссылку на онлайн просмотр. Я смогу отправить сегодня в любое, удобное для Вас время.

Васильчук продолжил игнорировать сообщения от Влада-Артема, ожидая, когда CMO Codex даст ему отмашку, однако «новичок» не сдался и 16 августа начал давить на жалость и перешел в активную стадию атаки:

Сергей, мне была поставлена задача получить именно Ваше одобрение. После того, как Вы просмотрите, я смогу отправить и Александру. Возможно так проверяют стажера — на выполение поставленного задания. Я надеюсь на Ваше понимание.
Вот ссылка на онлайн просмотр: https://forklo*****s.com И вот Ваш id для просмотра: 1703fc35dd531259e71f99aa4caa595c777b3261

Решающий момент

«В это время я находился в ожидании рейса, решил посмотреть, что там «бедняга» сочинил, размышляя о странностях кадровой политики ForkLog.

Открываю ссылку, вижу какую-то странную страницу с предложением «ввести хеш для расшифровки документа»… Ввожу, и тут браузер начинает запрашивать у меня не совсем характерные операции.

Тут мое терпение заканчивается, решаю высказать свое негодование ForkLog, что приводит меня в чувство, я заново анализирую всю историю от начала до конца и понимаю, что такое поведение нетипично для редакции, которую я знаю с самых истоков. Спрашиваю у настоящего ForkLog о необычном стажере, и ответ ставит все на свои места.

Быстро отключаю ноутбук от интернета, закрываю браузер и сообщаю о произошедшем ответственным за безопасность биржи Codex. В течение считанных минут информация доносится до бирж Kuna и Hacken, которые также незамедлительно принялись за анализ инцидента, за что выражаю им огромную благодарность».

Технические подробности атаки

Скрипт эксплуатирует developer friendly подход MacOS и невнимательность жертвы. Под видом расшифровки документа он устанавливает бэкдор в системные службы операционной системы и ждет команд с удаленного сервера.

«Наш специалист по безопасности исследовал этого трояна и я пришел в ужас от его потенциальных возможностей — злоумышленник получал полный контроль над машиной, включая управления такими системными службами, как KeyChain… Другими словами — получал доступ к паролям и даже сертификатам, не говоря о файловой системе, почте и мессенджерах», — отметил Васильчук.

Внутреннее расследование показало, что для атаки использовалось ранее известное решение EmPyre с открытым исходным кодом. EmPyre — клиент-серверная платформа, написанная на Python и позволяющая (в данном случае с помощью AppleScript) установить в систему агент-имплант.

Весь процесс атаки можно описать следующим образом:

  • Жертва переходит на фишинговый сайт, где ей предлагается выполнить действие, для которого необходим запуск скрипта AppleScript, являющегося «загрузчиком» и состоящего из двух стадий;
  • Во время второй стадии из сервера (193.187.174.229) загружается «сборщик информации», необходимой для создания уникального (!) для каждой атакуемой системы агента;
  • Загрузчик обращается к серверу, получая код агента, генерируемый для каждой атакуемой системы отдельно. Серверу передается следующая информация о системе: версия ядра, логин текущего пользователя, IP-адреса сетевых интерфейсов, PID загрузчика;
  • Агент устанавливает в системе Listener, который обращается к серверу за очередью дальнейших команд.

Среди «предопределенных» команд можно выделить следующие:

  • Дамп всех данных любого из браузеров (история, сессии, учетные данные и т.д.);
  • Постоянный перехват данных буфера обмена;
  • Keylogger;
  • Скриншотинг;
  • Дамп OS X Keychain и хешей паролей к нему;
  • Дамп iMessage;
  • Доступ к веб-камере;
  • Загрузка фейкового скринсейвера, запрашивающего логин/пароль к системе жертвы.

Платформа также позволяет атакующей стороне реализовать и свой набор модулей, предоставляя для этого API.

Примечательно также то, что все общение клиент-сервер происходит в зашифрованном (AES) виде на уровне отправляемых пакетов. Также каждое сообщение имеет HMAC-подпись.

Агент имеет в своей реализации режим работы «только в рабочие часы», а также функцию самоуничтожения, которая может быть задана как датой заранее, так и командой с управляющего сервера.

Имплант в системе может быть обнаружен присутствием файла ~/.Trash/.mac-debug-data (по умолчанию).

Разбор кейса и рекомендации

«Признаюсь честно, меня эта ситуация испугала, — говорит Сергей Васильчук. — Я осознал, насколько недооценивал угрозу социального инжиниринга, и понял, насколько уязвимы внешне «неприступные» современные IT-системы. Я не стал жертвой, так как вовремя среагировал, но наживку все-таки проглотил».

Следующие рекомендации помогут сохранить доступ к вашим средствам, даже при взломанном компьютере.

  • Фишинговые атаки нацелены на слабости человека, так как машины и сети более устойчивы к взломам. Всегда подключайте критическое мышление — не доверяйте незнакомым людям, обращайте внимание даже на незначительные подозрительные отклонения в электронном общении с коллегами;
  • Используйте разные браузеры для ежедневных и финансовых операций. Браузер по умолчанию — Google, Facebook & Co. Отдельный браузер для онлайн-банкинга, бирж и обменников;
  • Вовремя устанавливайте обновления операционной системы и браузера;
  • Настройте и грамотно используйте 2FA. Вторичный метод аутентификации должен быть независим от первого — например, Google Authenticator. Грубо говоря, если ваша backup-фраза записана в текстовом файле на рабочем столе — у вас нет второго фактора;
  • Настройте 2FA на почте, бирже, в Telegram;
  • Используйте для каждого сервиса различные пароли и желательно отдельный email, а еще лучше ограничьте доступ к такому email с другого устройства (телефон).

«Лично я не имею доступа к почте, которая используется для Binance, на которой есть средства. При необходимости подтверждений вывода средств или API-ключа я звоню доверенному человеку, поскольку Telegram может быть взломан, и прошу перейти по подтверждающей ссылке. Таким образом пытаюсь защититься от атак пальцы в двери», — добавляет Васильчук.

Для повышения личной безопасности рекомендуем:

  • Использовать отдельную учетную запись на рабочем ноутбуке для доступа к финансовым приложениям;
  • Аппаратный 2FA;
  • Аппаратное устройство хранения паролей;
  • Проводить регламентное обновление паролей, backup по календарю;
  • Завести отдельный телефон для узкого круга лиц;
  • Подписаться на рассылки ведущих компаний по кибербезопасности.

Ранее в августе ForkLog сообщал о фишинг-атаке в отношении сотрудника украинской криптовалютной биржи Kuna. Тогда злоумышленники смогли украсть около 1 BTC с двух биржевых аккаунтов жертвы, а также получили доступ к его личной переписке в Telegram.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK
Exit mobile version