Основатель криптовалютной биржи Codex и CEO Attic Lab Сергей Васильчук едва не стал жертвой фишинговой атаки, которую злоумышленники пытались провести под видом сотрудника редакции ForkLog.
Технические подробности атаки
Скрипт эксплуатирует developer friendly подход MacOS и невнимательность жертвы. Под видом расшифровки документа он устанавливает бэкдор в системные службы операционной системы и ждет команд с удаленного сервера.
«Наш специалист по безопасности исследовал этого трояна и я пришел в ужас от его потенциальных возможностей — злоумышленник получал полный контроль над машиной, включая управления такими системными службами, как KeyChain… Другими словами — получал доступ к паролям и даже сертификатам, не говоря о файловой системе, почте и мессенджерах», — отметил Васильчук.
Внутреннее расследование показало, что для атаки использовалось ранее известное решение EmPyre с открытым исходным кодом. EmPyre — клиент-серверная платформа, написанная на Python и позволяющая (в данном случае с помощью AppleScript) установить в систему агент-имплант.
Весь процесс атаки можно описать следующим образом:
Жертва переходит на фишинговый сайт, где ей предлагается выполнить действие, для которого необходим запуск скрипта AppleScript, являющегося «загрузчиком» и состоящего из двух стадий;
Во время второй стадии из сервера (193.187.174.229) загружается «сборщик информации», необходимой для создания уникального (!) для каждой атакуемой системы агента;
Загрузчик обращается к серверу, получая код агента, генерируемый для каждой атакуемой системы отдельно. Серверу передается следующая информация о системе: версия ядра, логин текущего пользователя, IP-адреса сетевых интерфейсов, PID загрузчика;
Агент устанавливает в системе Listener, который обращается к серверу за очередью дальнейших команд.
Среди «предопределенных» команд можно выделить следующие:
Дамп всех данных любого из браузеров (история, сессии, учетные данные и т.д.);
Постоянный перехват данных буфера обмена;
Keylogger;
Скриншотинг;
Дамп OS X Keychain и хешей паролей к нему;
Дамп iMessage;
Доступ к веб-камере;
Загрузка фейкового скринсейвера, запрашивающего логин/пароль к системе жертвы.
Платформа также позволяет атакующей стороне реализовать и свой набор модулей, предоставляя для этого API.
Примечательно также то, что все общение клиент-сервер происходит в зашифрованном (AES) виде на уровне отправляемых пакетов. Также каждое сообщение имеет HMAC-подпись.
Агент имеет в своей реализации режим работы «только в рабочие часы», а также функцию самоуничтожения, которая может быть задана как датой заранее, так и командой с управляющего сервера.
Имплант в системе может быть обнаружен присутствием файла ~/.Trash/.mac-debug-data (по умолчанию).
Разбор кейса и рекомендации
«Признаюсь честно, меня эта ситуация испугала, — говорит Сергей Васильчук. — Я осознал, насколько недооценивал угрозу социального инжиниринга, и понял, насколько уязвимы внешне «неприступные» современные IT-системы. Я не стал жертвой, так как вовремя среагировал, но наживку все-таки проглотил».
Следующие рекомендации помогут сохранить доступ к вашим средствам, даже при взломанном компьютере.
Фишинговые атаки нацелены на слабости человека, так как машины и сети более устойчивы к взломам. Всегда подключайте критическое мышление — не доверяйте незнакомым людям, обращайте внимание даже на незначительные подозрительные отклонения в электронном общении с коллегами;
Используйте разные браузеры для ежедневных и финансовых операций. Браузер по умолчанию — Google, Facebook & Co. Отдельный браузер для онлайн-банкинга, бирж и обменников;
Вовремя устанавливайте обновления операционной системы и браузера;
Настройте и грамотно используйте 2FA. Вторичный метод аутентификации должен быть независим от первого — например, Google Authenticator. Грубо говоря, если ваша backup-фраза записана в текстовом файле на рабочем столе — у вас нет второго фактора;
Настройте 2FA на почте, бирже, в Telegram;
Используйте для каждого сервиса различные пароли и желательно отдельный email, а еще лучше ограничьте доступ к такому email с другого устройства (телефон).
«Лично я не имею доступа к почте, которая используется для Binance, на которой есть средства. При необходимости подтверждений вывода средств или API-ключа я звоню доверенному человеку, поскольку Telegram может быть взломан, и прошу перейти по подтверждающей ссылке. Таким образом пытаюсь защититься от атак пальцы в двери«, — добавляет Васильчук.
Для повышения личной безопасности рекомендуем:
Использовать отдельную учетную запись на рабочем ноутбуке для доступа к финансовым приложениям;
Аппаратный 2FA;
Аппаратное устройство хранения паролей;
Проводить регламентное обновление паролей, backup по календарю;
Завести отдельный телефон для узкого круга лиц;
Подписаться на рассылки ведущих компаний по кибербезопасности.
Ранее в августе ForkLog сообщал о фишинг-атаке в отношении сотрудника украинской криптовалютной биржи Kuna. Тогда злоумышленники смогли украсть около 1 BTC с двух биржевых аккаунтов жертвы, а также получили доступ к его личной переписке в Telegram.