продолжение...
OP RETURN скрипт
И действительно, транзакция содержит некоторые закодированные данные, которые, скорее всего, хранятся как часть Multisig-транзакции:
Хотя точное назначение данных, хранящихся с использованием OP_RETURN, неизвестно, это не имеет большого значения, и мы все еще можем следить за движением BTC Вариант 2, чтобы узнать их пункт назначения:
Следующий по величине выход 1.96991794 из предыдущей транзакции обозначен идентификатором f5abb14ffc1d57494934d10a2114b2e4fc812b7e18f73d0f6202a995d2bea1be, который содержит 445 входов на общую сумму 100.02103004 BTC.
Эти 100 BTC затем перемещаются на 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s, известному адресу горячего кошелька Binance. Давайте кратко рассмотрим пункт назначения 36.38011271 BTC, о которых мы упомянули ранее. В целях краткости мы следуем аналогичным путям отслеживания средств, поскольку они разделены таким же образом, как и выше:
Как видим, 25,8 BTC отправляются на адрес «3MRqgoPe6vBNVEn9Fo85qK7zvaLb9e9T2x». Многие адреса, связанные с этим кошельком, каким-то образом связаны с SCAM-сайтами, так называемые "Биткоин-удвоители".
3FF1uZ5oEaSZYKCvGbywu39djsknrGeu96 Continvest
3AxHFZ2ivJUBgveyNj1PQak6FsKBcLJ42N Bitcoin Doubler
Поскольку маловероятно, что вы сможете просто удвоить любое количество отправленных вами биткойнов на какой-то адрес, скорее всего, что эти веб-сайты существуют для того, чтобы предлагать другую функцию, своеобразный Биткоин миксер / отмывание средств для преступников.
Контрмеры
Столкнувшись с такой широкомасштабной атакой на свою пользовательскую базу, разработчики Electrum решили использовать ту же самую уязвимость, чтобы отобразить законное уведомление об обновлении. Однако этого было недостаточно чтобы остановить злоумышленников, поэтому позже Electrum решил провести атаки типа «отказ в обслуживании» против своих собственных пользователей, чтобы они не могли подключаться к мошенническим узлам.
https://twitter.com/ElectrumWallet/status/1106479573917724672
Злоумышленники начали атаку при помощи ботнета
https://twitter.com/ElectrumWallet/status/1116063328927985664
Список атакующих IP-адресов (состоящий из 72977 на момент написания) и постоянно обновляется. Это число почти утроилось в течение недели, подтверждая, что атаки растут чрезвычайно быстрыми темпами.
Список IP-адресов атакующих серверов Electrum. Обновляется каждые несколько минут.
Вредоносные программы, стоящие за ботнетом и DDoS-атаками
Несмотря на то, что точный размер ботнета не известен, мы смогли узнать больше о том, как пополняются ряды сети ботнет. Мы столкнулись с вредоносным программным обеспечением и двумя различными способами заражения. Первый способ через бэкдор Smoke Loader, а второй через набор эксплойтов RIG.
Во втором случае вредоносная реклама перенаправляла на набор эксплойтов RIG и в конечном счете, предлагала загрузчик, который выглядел как майнер, но на самом деле представляет собой вредоносное ПО, превращающее зараженные компьютеры в отдельных ботов для атак на серверы Electrum.
Мы видим, как загрузчик собирает список узлов Electrum для атаки с использованием нескольких общедоступных адресов кошелька. Каждая зараженная машина начнет атаку на официальные/законные ноды Electrum.
Он загружает большой файл (> 40 МБ), который представляет собой скомпилированный Python-код (transactionservices.exe) для кошелька Electrum, и записывает его на диск.
Он также добавляет подпроцесс transactionserviceshelper.exe в автозагрузку, путем добавления записей в реестр Windows.
А так выглядит папка с вредоносным приложением Electrum
DDos атаки на серверы ElectrumX
Эта атака заключается в отправке большого количества SYN-запросов на подключение по протоколу TCP в достаточно короткий срок на серверы ElectrumX через порт 50002 или 50001, как видно из следующего захвата трафика:
SYN-флуд одна из разновидностей сетевых атак типа "отказ от обслуживания"
Мы также заметили другой тип пакетов TCP spurious retransmission. (Spurious retransmission это повторная передача тех данных, прием которых получатель уже подтвердил.)
IP-адрес лабораторного компьютера, который мы использовали для детонации (запуска и теста) вредоносного ПО, попал в черный список в том же обновленном списке клиентов, которые атакуют серверы Electrumx, упомянутые выше, что подтверждает наше временное присутствие в этом ботнете.
Будущие атаки
Любой, кто следит за развитием криптовалюты, знает, что их ждет "веселая поездочка". Злоумышленники использовали уязвимость в самом популярном биткоин кошельке, чтобы создать ловкую фишинговую атаку, которая за несколько месяцев принесла им более 3 миллионов долларов США. Другие преступники возьмут это на заметку.
Когда Electrum ответил на атаку, чтобы уменьшить количество жертв от этой кражи, преступники ответили продолжительными DDoS атаками. Скорее всего, между двумя сторонами была некоторая вражда, но, поскольку ботнет продолжает отключать законные узлы Electrum, у мошенников есть возможность продолжить порочный цикл, предлагая поддельные обновления и пополнять ряды жертв своих махинаций.
Люди использующие собственные Electrum серверы могут противостоять DDoS атакам различными способами. Они могут настроить планировщик cron для систематичного обновления и блокировки атакующих IP-адресов. Они также могут создать правила в iptables для ограничения скорости попыток подключения к известным портам, которые подвергаются атаке. (по всей видимости имеется ввиду Fail2ban).
Пользователям кошелька Electrum необходимо обновить программное обеспечение до последней версии (3.3.4 (на момент публикации)) из официального репозитория (ссылки удалил) и быть особенно осторожными с обновлениями или другими сообщениями.
Malwarebytes обнаруживает вредоносные кошельки для Mac OS X как OSX.ElectrumStealer и Electrum.Stealer для Windows.
(от себя: перед установкой обязательно проверяйте PGP подпись инсталяшки или портативного кошелька, есть тема на форуме в Новички "PGP Подпись - Шифровка / Дешифровка сообщения", и куча информации в сети на эту тему)
OP RETURN скрипт
И действительно, транзакция содержит некоторые закодированные данные, которые, скорее всего, хранятся как часть Multisig-транзакции:
Хотя точное назначение данных, хранящихся с использованием OP_RETURN, неизвестно, это не имеет большого значения, и мы все еще можем следить за движением BTC Вариант 2, чтобы узнать их пункт назначения:
Следующий по величине выход 1.96991794 из предыдущей транзакции обозначен идентификатором f5abb14ffc1d57494934d10a2114b2e4fc812b7e18f73d0f6202a995d2bea1be, который содержит 445 входов на общую сумму 100.02103004 BTC.
Эти 100 BTC затем перемещаются на 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s, известному адресу горячего кошелька Binance. Давайте кратко рассмотрим пункт назначения 36.38011271 BTC, о которых мы упомянули ранее. В целях краткости мы следуем аналогичным путям отслеживания средств, поскольку они разделены таким же образом, как и выше:
Как видим, 25,8 BTC отправляются на адрес «3MRqgoPe6vBNVEn9Fo85qK7zvaLb9e9T2x». Многие адреса, связанные с этим кошельком, каким-то образом связаны с SCAM-сайтами, так называемые "Биткоин-удвоители".
3FF1uZ5oEaSZYKCvGbywu39djsknrGeu96 Continvest
3AxHFZ2ivJUBgveyNj1PQak6FsKBcLJ42N Bitcoin Doubler
Поскольку маловероятно, что вы сможете просто удвоить любое количество отправленных вами биткойнов на какой-то адрес, скорее всего, что эти веб-сайты существуют для того, чтобы предлагать другую функцию, своеобразный Биткоин миксер / отмывание средств для преступников.
Контрмеры
Столкнувшись с такой широкомасштабной атакой на свою пользовательскую базу, разработчики Electrum решили использовать ту же самую уязвимость, чтобы отобразить законное уведомление об обновлении. Однако этого было недостаточно чтобы остановить злоумышленников, поэтому позже Electrum решил провести атаки типа «отказ в обслуживании» против своих собственных пользователей, чтобы они не могли подключаться к мошенническим узлам.
https://twitter.com/ElectrumWallet/status/1106479573917724672
Злоумышленники начали атаку при помощи ботнета
https://twitter.com/ElectrumWallet/status/1116063328927985664
Список атакующих IP-адресов (состоящий из 72977 на момент написания) и постоянно обновляется. Это число почти утроилось в течение недели, подтверждая, что атаки растут чрезвычайно быстрыми темпами.
Список IP-адресов атакующих серверов Electrum. Обновляется каждые несколько минут.
Вредоносные программы, стоящие за ботнетом и DDoS-атаками
Несмотря на то, что точный размер ботнета не известен, мы смогли узнать больше о том, как пополняются ряды сети ботнет. Мы столкнулись с вредоносным программным обеспечением и двумя различными способами заражения. Первый способ через бэкдор Smoke Loader, а второй через набор эксплойтов RIG.
Во втором случае вредоносная реклама перенаправляла на набор эксплойтов RIG и в конечном счете, предлагала загрузчик, который выглядел как майнер, но на самом деле представляет собой вредоносное ПО, превращающее зараженные компьютеры в отдельных ботов для атак на серверы Electrum.
Мы видим, как загрузчик собирает список узлов Electrum для атаки с использованием нескольких общедоступных адресов кошелька. Каждая зараженная машина начнет атаку на официальные/законные ноды Electrum.
Анализ этого загрузчика подтверждает активность сети, которую мы наблюдали выше:
Он загружает большой файл (> 40 МБ), который представляет собой скомпилированный Python-код (transactionservices.exe) для кошелька Electrum, и записывает его на диск.
Он также добавляет подпроцесс transactionserviceshelper.exe в автозагрузку, путем добавления записей в реестр Windows.
А так выглядит папка с вредоносным приложением Electrum
DDos атаки на серверы ElectrumX
Эта атака заключается в отправке большого количества SYN-запросов на подключение по протоколу TCP в достаточно короткий срок на серверы ElectrumX через порт 50002 или 50001, как видно из следующего захвата трафика:
SYN-флуд одна из разновидностей сетевых атак типа "отказ от обслуживания"
Мы также заметили другой тип пакетов TCP spurious retransmission. (Spurious retransmission это повторная передача тех данных, прием которых получатель уже подтвердил.)
IP-адрес лабораторного компьютера, который мы использовали для детонации (запуска и теста) вредоносного ПО, попал в черный список в том же обновленном списке клиентов, которые атакуют серверы Electrumx, упомянутые выше, что подтверждает наше временное присутствие в этом ботнете.
Диаграмма показывающая распределение большинства жертв, участвующих в DDoS.
Будущие атаки
Любой, кто следит за развитием криптовалюты, знает, что их ждет "веселая поездочка". Злоумышленники использовали уязвимость в самом популярном биткоин кошельке, чтобы создать ловкую фишинговую атаку, которая за несколько месяцев принесла им более 3 миллионов долларов США. Другие преступники возьмут это на заметку.
Когда Electrum ответил на атаку, чтобы уменьшить количество жертв от этой кражи, преступники ответили продолжительными DDoS атаками. Скорее всего, между двумя сторонами была некоторая вражда, но, поскольку ботнет продолжает отключать законные узлы Electrum, у мошенников есть возможность продолжить порочный цикл, предлагая поддельные обновления и пополнять ряды жертв своих махинаций.
Люди использующие собственные Electrum серверы могут противостоять DDoS атакам различными способами. Они могут настроить планировщик cron для систематичного обновления и блокировки атакующих IP-адресов. Они также могут создать правила в iptables для ограничения скорости попыток подключения к известным портам, которые подвергаются атаке. (по всей видимости имеется ввиду Fail2ban).
Пользователям кошелька Electrum необходимо обновить программное обеспечение до последней версии (3.3.4 (на момент публикации)) из официального репозитория (ссылки удалил) и быть особенно осторожными с обновлениями или другими сообщениями.
Malwarebytes обнаруживает вредоносные кошельки для Mac OS X как OSX.ElectrumStealer и Electrum.Stealer для Windows.
(от себя: перед установкой обязательно проверяйте PGP подпись инсталяшки или портативного кошелька, есть тема на форуме в Новички "PGP Подпись - Шифровка / Дешифровка сообщения", и куча информации в сети на эту тему)