Сохранность средств: вирусы в поисках wallet.dat

Одни из самых технически совершенных вирусов охотятся за криптосбережениями пользователей.

Первым вредоносным ПО, охотящимся за криптовалютами пользователей были вирусы и трояны, похищающие файл приватных ключей кошелька, установленного локально на устройстве пользователя. Всегда существует большое количество пользователей, которые по разным причинам хранят свои средства на локальных кошельках. На момент появления первых троянов, работающих по данной схеме, было очень мало online кошельков, поэтому пользователи были вынуждены хранить свои киберсбережения непосредственно на своих устройствах (компьютерах, смартфонах, планшетах и т.д.). И даже сейчас, когда появилось множество сервисов для онлайн хранения средств, часть пользователей не доверяет им и предпочитает держать свои ключи у себя.

Первый троян, который ставил своей целью похищение файла wallet.dat, содержащего приватные ключи и другие данные о кошельке пользователя, был обнаружен еще в июне 2011 компанией Symantec и получил название Infostealer.Coinbit. При проникновении в систему жертвы он обнаруживал файл wallet.dat и пересылал его злоумышленникам.

Первоначально технической информации о криптовалютах и безопасности работы с локальными кошельками было мало, да и сейчас многие пользователи не желают вникать в тонкости работы данным ПО. Поэтому есть категория пользователей, которые не включают опцию шифрования файла ключей или используют очень слабые пароли и, благодаря этому, становятся очень легкой добычей для трояна - ведь ему достаточно получить файл с ключами и злоумышленник получает полный контроль над средствами пользователя.

Но и пользователи, которые шифруют свои ключи длинными и сложными паролями не застрахованы от потери своих сбережений. Злоумышленники не стоят на месте. Они расширяют возможности своих творений кейлоггерами, перехватывают буфер обмена, следят за почтой пользователя и посещаемыми ими сайтами, стараясь любыми средствами перехватить пароль от файла ключей или же онлайн кошелька пользователя.

В начале 2014 был обнаружен наиболее универсальный вор криптовалют - CryptoStealer. Его первая версия поддерживала 80 криптовалют. Она не только знала о структуре хранения файлов ключей для каждого кошелька, но и умела внедряться в запущенные процессы программ работы с криптовалютой, например bitcoin-qt.exe, для перехвата паролей доступа к ключам. Данное вредоносное ПО достаточно долго не вызывало подозрений у антивирусного ПО ни своим чрезвычайно грамотным внедрением в запущенные процессы, ни создаваемым им интернет-траффиком.

Позже, в августе 2017, специалисты компании Trend Micro сообщили, что один из самых распространенных и серьезных на данный момент вирусов-шифровальщиков Cerber, получил новый виток функционального развития. Теперь перед шифрованием диска жертвы троян отыскивает признаки наличия на устройстве кошельков Bitcoin Core, Electrum и Multibit. Также он пытается похитить сохраненные пароли из браузеров Internet Explorer, Google Chrome и Mozilla Firefox. Все похищенные данные отправляются на управляющий сервер, а затем с устройства жертвы удаляется все, что было найдено и связано с кошельками.

Мы привели примеры лишь нескольких самых примечательных трянов, работающих по схеме похищения кошельков пользователей. Реальное их количество намного больше. Но сложность подобного вредоносного ПО одновременно является и его слабостью. В связи с тем, что эти трояны активно вмешиваются в работу системы (пытаются получить доступ к специфическим файлам, к нажатым клавишам, передают файлы через сеть и т.д.) они достаточно часто и легко обнаруживаются эвристическими анализаторами антивирусного ПО и достаточно быстро блокируются. Поэтому специалисты по безопасности всегда рекомендуют использовать современные антивирусы с самыми свежим вирусными базами (выбор конкретного антивирусного решения зависит от операционной системы пользователя, а также от готовности пользователя платить за безопасность своих данных). Наши рекомендации по хранению и обеспечению безопасности криптосбережений мы опишем в одной из наших следующих статей.