Хакеры организовывают фишинг-атаки под видом сотрудников редакции ForkLog
Будьте бдительны, редакция ForkLog общается с читателями и клиентами только через официальные аккаунты! Для защиты наших читателей от такого вида атак мы приводим подробное описание инцидента.
Основатель криптовалютной биржи Codex и CEO Attic Lab Сергей Васильчук едва не стал жертвой фишинговой атаки, которую злоумышленники пытались провести под видом сотрудника редакции ForkLog.
Примечательно, что это уже третий инцидент в череде атак на топ-менеджеров биткоин-бирж за последнее время. До этого жертвами чуть не стали сотрудники Coinbase.
Хронология событий
8 августа Сергей Васильчук получил в Telegram сообщение от пользователя с ником Vlad Artemov, представившегося сотрудником редакции ForkLog (здесь и далее орфография и пунктуация авторская):
Добрый вечер, Сергей! Меня зовут Влад Артемов и я представляю интересы компании ForkLog. Ваши контакты мне были любезно предоставлены Вашим саппортом. Мы бы хотели разместить пост с обзором вашего сайта на нашем новостном ресурсе. ForkLog — самое крупное русскоязычное интернет-издание о криптовалютах и блокчейне, что гарантирует успех нашим клиентам. Хотелось бы обсудить с Вами детали нашей статьи — я с радостью отвечу на все Ваши вопросы в любое удобное для Вас время. С Уважением,
Артем, команда ForkLog
Обратите внимание, что злоумышленник в одном письме представился сразу двумя именами.
Однако, по словам Васильчука, он не придал особого значения этому сообщению, так как в этот момент маркетинговый отдел его компании действительно взаимодействовал с ForkLog по ряду публикаций. В конечном итоге он ответил «нашему сотруднику»:
Влад приветствую, я знаю Forklog с тех пор когда Каплан еще сам был.
У нас есть группа , в которой человек 5 из Форклога и там же наш CMО
Спустя сутки, 9 августа, Влад-Артем прислал ответное сообщение:
Добрый вечер, Сергей! Мы все обсудили с Александром. Я отправлю Вам ссылку на онлайн просмотр статьи о Вашей компании по готовности. Благодарю Вас за сотрудничество.
13 августа он написал следующее:
Здравствуйте, Сергей! Напишите, пожалуйста, когда вы будете за компьютером, чтобы Вам было удобно принять ссылку на онлайн просмотр. Я смогу отправить сегодня в любое, удобное для Вас время.
Васильчук продолжил игнорировать сообщения от Влада-Артема, ожидая, когда CMO Codex даст ему отмашку, однако «новичок» не сдался и 16 августа начал давить на жалость и перешел в активную стадию атаки:
Сергей, мне была поставлена задача получить именно Ваше одобрение. После того, как Вы просмотрите, я смогу отправить и Александру. Возможно так проверяют стажера — на выполение поставленного задания. Я надеюсь на Ваше понимание.
Вот ссылка на онлайн просмотр: https://forklo*****s.com И вот Ваш id для просмотра: 1703fc35dd531259e71f99aa4caa595c777b3261
Решающий момент
«В это время я находился в ожидании рейса, решил посмотреть, что там «бедняга» сочинил, размышляя о странностях кадровой политики ForkLog.
Открываю ссылку, вижу какую-то странную страницу с предложением «ввести хеш для расшифровки документа»… Ввожу, и тут браузер начинает запрашивать у меня не совсем характерные операции.
Тут мое терпение заканчивается, решаю высказать свое негодование ForkLog, что приводит меня в чувство, я заново анализирую всю историю от начала до конца и понимаю, что такое поведение нетипично для редакции, которую я знаю с самых истоков. Спрашиваю у настоящего ForkLog о необычном стажере, и ответ ставит все на свои места.
Быстро отключаю ноутбук от интернета, закрываю браузер и сообщаю о произошедшем ответственным за безопасность биржи Codex. В течение считанных минут информация доносится до бирж Kuna и Hacken, которые также незамедлительно принялись за анализ инцидента, за что выражаю им огромную благодарность».
Технические подробности атаки
Скрипт эксплуатирует developer friendly подход MacOS и невнимательность жертвы. Под видом расшифровки документа он устанавливает бэкдор в системные службы операционной системы и ждет команд с удаленного сервера.
«Наш специалист по безопасности исследовал этого трояна и я пришел в ужас от его потенциальных возможностей — злоумышленник получал полный контроль над машиной, включая управления такими системными службами, как KeyChain… Другими словами — получал доступ к паролям и даже сертификатам, не говоря о файловой системе, почте и мессенджерах», — отметил Васильчук.
Внутреннее расследование показало, что для атаки использовалось ранее известное решение EmPyre с открытым исходным кодом. EmPyre — клиент-серверная платформа, написанная на Python и позволяющая (в данном случае с помощью AppleScript) установить в систему агент-имплант.
Весь процесс атаки можно описать следующим образом:
- Жертва переходит на фишинговый сайт, где ей предлагается выполнить действие, для которого необходим запуск скрипта AppleScript, являющегося «загрузчиком» и состоящего из двух стадий;
- Во время второй стадии из сервера (193.187.174.229) загружается «сборщик информации», необходимой для создания уникального (!) для каждой атакуемой системы агента;
- Загрузчик обращается к серверу, получая код агента, генерируемый для каждой атакуемой системы отдельно. Серверу передается следующая информация о системе: версия ядра, логин текущего пользователя, IP-адреса сетевых интерфейсов, PID загрузчика;
- Агент устанавливает в системе Listener, который обращается к серверу за очередью дальнейших команд.
Среди «предопределенных» команд можно выделить следующие:
- Дамп всех данных любого из браузеров (история, сессии, учетные данные и т.д.);
- Постоянный перехват данных буфера обмена;
- Keylogger;
- Скриншотинг;
- Дамп OS X Keychain и хешей паролей к нему;
- Дамп iMessage;
- Доступ к веб-камере;
- Загрузка фейкового скринсейвера, запрашивающего логин/пароль к системе жертвы.
Платформа также позволяет атакующей стороне реализовать и свой набор модулей, предоставляя для этого API.
Примечательно также то, что все общение клиент-сервер происходит в зашифрованном (AES) виде на уровне отправляемых пакетов. Также каждое сообщение имеет HMAC-подпись.
Агент имеет в своей реализации режим работы «только в рабочие часы», а также функцию самоуничтожения, которая может быть задана как датой заранее, так и командой с управляющего сервера.
Имплант в системе может быть обнаружен присутствием файла ~/.Trash/.mac-debug-data (по умолчанию).
Разбор кейса и рекомендации
«Признаюсь честно, меня эта ситуация испугала, — говорит Сергей Васильчук. — Я осознал, насколько недооценивал угрозу социального инжиниринга, и понял, насколько уязвимы внешне «неприступные» современные IT-системы. Я не стал жертвой, так как вовремя среагировал, но наживку все-таки проглотил».
Следующие рекомендации помогут сохранить доступ к вашим средствам, даже при взломанном компьютере.
- Фишинговые атаки нацелены на слабости человека, так как машины и сети более устойчивы к взломам. Всегда подключайте критическое мышление — не доверяйте незнакомым людям, обращайте внимание даже на незначительные подозрительные отклонения в электронном общении с коллегами;
- Используйте разные браузеры для ежедневных и финансовых операций. Браузер по умолчанию — Google, Facebook & Co. Отдельный браузер для онлайн-банкинга, бирж и обменников;
- Вовремя устанавливайте обновления операционной системы и браузера;
- Настройте и грамотно используйте 2FA. Вторичный метод аутентификации должен быть независим от первого — например, Google Authenticator. Грубо говоря, если ваша backup-фраза записана в текстовом файле на рабочем столе — у вас нет второго фактора;
- Настройте 2FA на почте, бирже, в Telegram;
- Используйте для каждого сервиса различные пароли и желательно отдельный email, а еще лучше ограничьте доступ к такому email с другого устройства (телефон).
«Лично я не имею доступа к почте, которая используется для Binance, на которой есть средства. При необходимости подтверждений вывода средств или API-ключа я звоню доверенному человеку, поскольку Telegram может быть взломан, и прошу перейти по подтверждающей ссылке. Таким образом пытаюсь защититься от атак пальцы в двери», — добавляет Васильчук.
Для повышения личной безопасности рекомендуем:
- Использовать отдельную учетную запись на рабочем ноутбуке для доступа к финансовым приложениям;
- Аппаратный 2FA;
- Аппаратное устройство хранения паролей;
- Проводить регламентное обновление паролей, backup по календарю;
- Завести отдельный телефон для узкого круга лиц;
- Подписаться на рассылки ведущих компаний по кибербезопасности.
Ранее в августе ForkLog сообщал о фишинг-атаке в отношении сотрудника украинской криптовалютной биржи Kuna. Тогда злоумышленники смогли украсть около 1 BTC с двух биржевых аккаунтов жертвы, а также получили доступ к его личной переписке в Telegram.
Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!