Амстердамская компания ThreatFabric, специализирующаяся на кибербезопасности в финансовой индустрии, обнаружила троян Cerberus, который крадет коды двухфакторной аутентификации, сгенерированные приложением Google Authenticator для интернет-банкинга, аккаунтов электронной почты и бирж криптовалют.
Как сообщает ThreatFabric, биржа криптовалют Coinbase - одна целей Cerberus, наряду с крупными финансовыми учреждениями по всему миру и приложениями социальных сетей. Компания пока не обнаружила рекламу обновленных функций Cerberus в даркнете. Это означает, что обновленная версия «все еще находится на стадии тестирования, но может быть выпущена в ближайшее время».
В отчете ThreatFabric говорится, что троян удаленного доступа Cerberus впервые был обнаружен в конце июня прошлого года, придя на смену трояну Anubis и превратившись в один из самых популярных продуктов «вредоносные программы как услуга» (Malware-as-a-Service).
ThreatFabric отмечает, что Cerberus был обновлен в середине января 2020 года, и в новой версии появилась возможность кражи токенов двухфакторной аутентификации из Google Authenticator, а также PIN-кодов блокировки экрана устройства. После установки Cerberus может загружать содержимое устройства и устанавливать соединения, предоставляя злоумышленнику полный удаленный доступ к устройству. Затем троян можно использовать для работы с любым приложением, включая банковские, и для доступа к биржам криптовалют.
«Функция, обеспечивающая кражу учетных данных блокировки экрана устройства (PIN-код и шаблон блокировки), обеспечивается простым оверлеем, который потребует от жертвы разблокировки устройства. Из реализации трояна мы можем сделать вывод, что эта кража учетных данных блокировки экрана была создана для того, чтобы злоумышленники могли удаленно разблокировать устройство в своих целях, когда жертва его не использует. Это еще раз подтверждает богатое воображение преступников, которые создают изощренные инструменты для достижения своих целей».
В отчете рассматриваются еще два трояна удаленного доступа, появившиеся после Anubis - Hydra и Gustaff.Разработчики Hydra недавно расширили сферу действия программы, сделав своей основной целью турецкие банки и кошельки на блокчейне. Gustaff нацелен на австралийские и канадские банки, кошельки для криптовалют и правительственные веб-сайты.
Три трояна, включая Cerberus, ориентированы как минимум на 26 криптовалютных бирж и поставщиков криптовалютных сервисов, в том числе Coinbase, Binance, Xapo, Wirex и Bitpay. Потенциальная защита от Cerberus - использование физического ключа аутентификации для предотвращения удаленных атак. Эти ключи требуют физический доступ к устройству, что помогает минимизировать риск успешной атаки.
Хакеры все чаще нацеливаются на пользователей криптовалют. По данным CipherTrace, в прошлом году убытки от хакерских атак снизились, но общие потери от преступлений в индустрии криптоактивов выросли до $4.52 млрд с $1.74 млрд в 2018 году.