Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Mesačný prehľad za mesiac júl 2020
Tlačové správy
05.08.2020
Mesačná správa CSIRT.SK - Jún 2020
Tlačové správy
23.07.2020
Mesačná správa CSIRT.SK - Máj 2020
Tlačové správy
21.07.2020
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Loapi, malvér na ťažbu kryptomeny

27.03.2020
V anglickom jazyku nazývaný aj Cryptomining malware, Cryptocurrency mining malware prípadne Cryptojacking. Jedná sa o pojmy, ktoré sa týkajú prevažne softvérových programov alebo komponentov škodlivého kódu špeciálne určených a vyvinutých na prevzatie zdrojov počítača alebo mobilného zariadenia a to najmä výkonu ich procesora. Malvér tieto zdroje následne používa na ťažbu kryptomeny bez súhlasu používateľa.

 

Vzhľadom na to, že v poslednej dobe je najznámejšia kryptomena Bitcoin, no aj ďalšie na cenovom vzostupe, a súčasne sú vo veľkom množstve aktívne phishingové kampane, je možné pozorovať zvýšený výskyt škodlivého kódu s obsahom komponentov na ťažbu kryptomeny. Obeť nie je vždy cieľom phishingového útoku, ransomware (zašifrovania údajov) alebo úniku dát (spyware, bankový trójsky kôň). Útočníkovi stačí využívať iba jej zdroje na ťažbu kryptomeny. Nedávne zistenia spoločnosti Kaspersky Labs odhalili, že takýto útočník je schopný rozšírením malvéru na dostatočné množstvo zariadení zarobiť bezproblémovo 30 000 dolárov mesačne.

Tento malvér (škodlivý kód) je navrhnutý tak, aby využíval výpočtový výkon procesora v napadnutom zariadení, napríklad notebook, pracovná stanica ale v súčasnosti aj mobilný telefón, prípadne tablet. V bezpečí nie sú v poslednej dobe ani zariadenia patriace do skupiny IoT (Internet vecí). Výkon týchto napadnutých zariadení je primárne používaný na riešenie zložitých matematických rovníc, pričom útočník za úspešné vyriešenie týchto rovníc dostane odmenu vo forme kryptomeny. Častokrát takýto malvér môže byť vo vašom zariadení prakticky bez povšimnutia, nakoľko jediné čo zneužíva, je procesor. Jediným prejavom môže byť to, že užívateľ má dlhodobý pocit spomalenia jeho zariadenia. V niektorých prípadoch je však tak agresívny, že aktívne spôsobuje zamŕzanie, prípadne nereagovanie systému. To je spôsobené tým, že malvér využíva všetok výkon procesora a pamäťové zdroje systému.

Veľmi často sa stáva, že škodlivý kód je umiestňovaný na webové stránky cez ktoré užívatelia sledujú online filmy a seriály "zdarma". Týmto sa docieli efekt, kedy používateľ počas sledovania nepotrebuje výkon počítača a teda si nevšimne, že je jeho pracovné zariadenie zneužívané. V niektorých prípadoch bola táto služba spúšťaná aj legitímne, ako náhrada príjmov z reklám pre webové stránky. O tomto spôsobe sme informovali na našej webstránke

V súčasnosti môže takýto škodlivý kód napadnúť akékoľvek zariadenie vrátane mobilných. Tam navyše hrozí aj prehriatie procesoru, prípadne batérie zariadenia. Asi najznámejší malvér za posledné roky, ktorý cieli na mobilné zariadenia sa volá Loapi. Je to vysoko sofistikovaný škodlivý kód, ktorý vie zneužiť vaše mobilné zariadenie na útoky formou DDoS, ťažbu kryptomeny, alebo ho zahlcuje reklamami. Do zariadenia sa vie dostať formou infikovanej aplikácie, prípadne infikovaného reklamného banneru, ktorý ponúka rôzne možnosti interakcie – kliknutí užívateľovi takým spôsobom, že nakoniec omylom klikne na tlačidlo „OK“, prípadne „inštalovať“ alebo „vyriešiť problém“ a tým sa aplikácia stiahne a nainštaluje.

Loapi škodí najmä cez moduly:

  • Nežiaduce reklamy - neúnavne sužuje majiteľa infikovaného smartphone pomocou bannerov a videoreklám. Tento modul môže tiež sťahovať a inštalovať ďalšie aplikácie, navštevovať rôzne, najmä infikované webstránky.
  • Predplatené služby – Tento modul môže prihlásiť používateľov zariadenia na platené služby. Takéto predplatné je zvyčajne potrebné potvrdiť pomocou SMS, čo však Loapi nezastaví. Jeho súčasťou je špeciálny modul, ktorý nepozorovane pošle textovú správu na požadované číslo predplatenej služby. Naviac, všetky správy (odchádzajúce aj prichádzajúce) sa okamžite vymažú, čím sa možnosť odhalenia významne znižuje.
  • Kryptomining – Využíva celý výkon zariadenia na ťažbu kryptomeny. Tým prehrieva a preťažuje zariadenie, ktoré na takto intenzívne použitie nebolo dimenzované. Pritom je možné, že nastane jeho nenávratné poškodenie.
  • DDoS útoky - dokáže ovládnuť zariadenie a zneužiť ho pri útokoch typu DDoS na webové zdroje. Na tento účel používa vstavaný proxy server a odosiela HTTP požiadavky v zmysle útoku.
  • Sťahovanie nových modulov – Pomocou tejto funkcionality sa môže modifikovať na ransomware, spyware alebo bankový trójsky kôň a zmeniť svoje správanie na získavanie informácii.

Možnosti infekcie - najčastejšie formou phishingového mailu:

  • Kliknutie na škodlivý odkaz (URL adresu; často sa používajú rôzne skracovače URL adries) a následné stiahnutie a spustenie napadnutej aplikácie.
  • Návšteva podvrhnutej / napadnutej web stránky. Častokrát sa stáva, že ani majiteľ web stránky nevie o jej napadnutí a umiestnení aktívneho malvéru na ťažbu kryptomeny.
  • Stiahnutie infikovanej aplikácie väčšinou z neoverených web stránok alebo URL adries.
  • Inštalácia infikovanej aplikácie v systéme, vrátane mobilných zariadení.
  • Inštalácia infikovaného rozšírenia webového prehliadača – v súčasnosti sú najčastejšie zneužívané najmä neoverené blokovače reklám.

Možnosti ochrany:

  • Účinná ochrana voči phishingovým e-mailom ideálne ešte na úrovni mail servera.
  • Používajte prehliadače, ktoré majú v sebe zabudovanú ochranu voči automatickému spúšťaniu ťažby kryptomien cez web stránku.
  • Inštalujte len overené rozšírenia do webového prehliadača.
  • Ak je to možné, vypnite automatické spúšťanie JavaScript vo webovom prehliadači.
  • Softvér a aplikácie sťahujte len z legitímnych zdrojov a overených web stránok.
  • Majte aplikované aspoň základné princípy kybernetickej bezpečnosti a povedomia u používateľov.
  • Používajte legitímny antivírusový resp. antimalware softvér, ako v pracovných staniciach, tak v mobilných zariadeniach.
  • Neinštalujte nič, čo skutočne nepotrebujete. Spravidla platí, že čím menej aplikácií inštalujete, tým je zariadenie bezpečnejšie.
  • Z dôvodu zvýšenej bezpečnosti zakážte inštaláciu aplikácií z neznámych zdrojov (v mobilných zariadeniach). V nastaveniach operačného systému Android a Chrome OS prejdite na „Zabezpečenie“ a uistite sa, že nie je zaškrtnuté políčko „Neznáme zdroje“. V zariadeniach, ktoré používajú systém iOS je predvolene táto možnosť vypnutá a za normálnych okolností sa nedá zapnúť. V prípade v súčasnosti už nepodporovaných operačných systémov, ako napríklad Windows mobile, je taktiež táto možnosť predvolene vypnutá a na jej zapnutie je vyžadovaná činnosť používateľa. V prípade mobilného zariadenia Microsoft Surface, ktoré využíva edíciu Windows 10 S, je taktiež táto možnosť predvolene vypnutá.
  • Inštalujte aplikácie iba z oficiálnych obchodov. Google Play, AppStore má špecializovaný tím zodpovedný za zachytávanie škodlivého softvéru pre mobilné zariadenia. Škodlivé kódy občas prenikajú do oficiálnych obchodov, ale šance na stretnutie s nimi sú oveľa nižšie ako na pochybných stránkach a neznámych zdrojoch.

 

Odkazy

https://www.deccanchronicle.com/technology/in-other-news/211217/new-mobile-trojan-loapi-mines-cryptocurrency-does-ddos-attacks.html
https://www.kaspersky.com/about/press-releases/2017_new-multi-featured-mobile-trojan-loapi-discovered
https://hexus.net/tech/news/software/113501-android-crypto-mining-malware-can-cause-device-damage/
https://www.malwarebytes.com/cryptojacking/
https://www.csoonline.com/article/3253572/what-is-cryptojacking-how-to-prevent-detect-and-recover-from-it.html



<< zoznam aktualít