Οι Κυβερνο-εγκληματίες έχουν αναπτύξει μια ποικιλία μεθόδων τους τελευταίους μήνες για να επωφεληθούν από τη ραγδαία ανάπτυξη των κρυπτονομισμάτων. Ένας από αυτούς είναι η χρήση των Web injections για την παρακολούθηση και την τροποποίηση της κυκλοφορίας μεταξύ των browsers χρηστών και των sites κρυπτονομισμάτων για να κλέψουν νομίσματα από τα θύματα.
Η εταιρία διαχείρισης κινδύνων SecurityScorecard αναφέρει ότι έχει διαπιστώσει δεκάδες χιλιάδες bots τα οποία με την τεχνική web inject κλέβουν κρυπτονομίσματα, καθιστώντας τα μια ισχυρή απειλή για τους επενδυτές και τις συναλλαγές τους.
Ένα Web Injection είναι κώδικας ενσωμάτωσης κακόβουλου περιεχομένου σε μια ιστοσελίδα πριν από την προβολή της στο πρόγραμμα περιήγησης ενός χρήστη. Mε τον τρόπο αυτό, το web injection παρεισφρέει και τροποποιεί την κυκλοφορία μεταξύ ενός διακομιστή Web και του προγράμματος περιήγησης με τέτοιο τρόπο ώστε το θύμα να μην παρατηρεί τίποτα.
Τα web injections μπορούν να χρησιμοποιηθούν για την προσθήκη ή τη διαγραφή περιεχομένου στις ιστοσελίδες που βλέπει το θύμα. Για παράδειγμα, ένα web injection μπορεί να χρησιμοποιηθεί για την προσθήκη ενός πεδίου στην οθόνη σύνδεσης για τη εισαγωγή του PIN που μπορεί να χρησιμοποιήσει κάποιος χρήστης για να αποκτήσει πρόσβαση στον τραπεζικό του λογαριασμό ή μπορεί να χρησιμοποιηθεί για να διαγράψει τις προειδοποιήσεις που συνήθως βλέπει ένας χρήστης κατά την προβολή μίας συγκεκριμένης ιστοσελίδας. Οι web injections έχουν συνήθως χρησιμοποιηθεί για να κλέψουν τους κωδικούς πρόσβασης σε τραπεζικούς λογαριασμούς, αλλά πρόσφατα έχουν αρχίσει να παίζουν ρόλο και σε κλοπές κρυπτονομισμάτων.
Οι διαχειριστές bots μπορούν να αγοράσουν εύκολα τις ενέσεις (injections) που εισάγουν κακόβουλο λογισμικό στο Coinbase και στο Blockchain.info και να τα διανείμουν σε μολυσμένους υπολογιστές σε ένα botnet, λέει η Doina Cosovan, ερευνήτρια κακόβουλου λογισμικού στο SecurityScorecard. Το κακόβουλο λογισμικό που είναι εγκατεστημένο σε αυτούς τους μολυσμένους υπολογιστές λαμβάνει το web injection και το χρησιμοποιεί στους ιστοτόπους Coinbase και Blockchain.info, εάν κάποιος χρήστης επισκεφθεί αυτούς τους ιστοτόπους. Αυτά τα Web Injections παρέχονται ως υπηρεσία, έτσι ώστε διαφορετικές οικογένειες malware να μπορούν να τα χρησιμοποιήσουν. Λέει η Cosovan. “Παρατηρήσαμε ιδιαίτερα τον Zeus και τον Ramnit, αλλά υπάρχουν πολλοί άλλοι. Οποιοσδήποτε άλλος bot master που ελέγχει bot από κάποια οικογένεια κακόβουλου λογισμικού που έχει τις δυνατότητες να εισάγει κώδικα σε ιστοσελίδες μπορεί να τα αγοράσει και να τα χρησιμοποιήσει”.
Το Web Injection του Coinbase, το οποίο ανακάλυψε το SecurityScorecard, έχει σχεδιαστεί για να αλλάζει τις ρυθμίσεις του λογαριασμού του θύματος, προκειμένου να επιτρέψει τη μεταφορά ψηφιακών νομισμάτων χωρίς να απαιτείται επιβεβαίωση του χρήστη. Όταν κάποιος χρήστης προσπαθεί να συνδεθεί στο λογαριασμό του Coinbase, ο JavaScript κώδικας που εισάγεται απενεργοποιεί πρώτα το Enter για τα πεδία email και κωδικού πρόσβασης, ώστε ο χρήστης να κάνει πραγματικά κλικ στο κουμπί “Υποβολή” για να υποβάλει τη φόρμα , σύμφωνα με το SecurityScorecard. Δημιουργεί επίσης ένα νέο κουμπί που έχει τα ίδια χαρακτηριστικά με το αρχικό κουμπί και μερικές επιπλέον κακόβουλες ιδιότητες. Στη συνέχεια προσθέτει το μεταλλαγμένο κουμπί “Υποβολή” πάνω από το αρχικό κουμπί σύνδεσης, έτσι ώστε το θύμα να κάνει κλικ στο κακόβουλο κουμπί αντί για το πρωτότυπο. Ο απώτερος στόχος είναι να συλλάβει τις πληροφορίες πολλαπλών παραγόντων ταυτότητας του θύματος και στη συνέχεια να το χρησιμοποιήσει για να αλλάξει τις ρυθμίσεις του λογαριασμού ώστε να μπορούν να διεξαχθούν περαιτέρω συναλλαγές χωρίς να απαιτείται η έγκριση του χρήστη.
“Αφού γίνει αυτή η αλλαγή, ο κώδικας που έχει εγχυθεί μπορεί να πραγματοποιεί συναλλαγές χωρίς να χρειάζεται εξουσιοδότηση [με έλεγχο ταυτότητας δύο παραγόντων]”, λέει η Cosovan. “Ακόμα περισσότερο, η πρόσβαση του χρήστη στις ρυθμίσεις είναι αποκλεισμένη, ώστε να μην μπορεί να επανενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων για συναλλαγές”, προσθέτει.
Το Web Ιnjection για το Blockchain.info έχει κάπως παρόμοια λειτουργικότητα αλλά σε αυτή την περίπτωση έχει σχεδιαστεί για να κλέψει από το πορτοφόλι ενός χρήστη και να μεταφέρει το ψηφιακό νόμισμα σε λογαριασμούς που τηρούν οι επιτιθέμενοι. Ως τελική πινελιά, το Web Injection παρουσιάζει στον χρήστη μια ειδοποίηση Μη Διαθέσιμης Υπηρεσίας (Service not Available) μετά την κλοπή του κρυπτονομίσματος, καθυστερώντας έτσι την ανίχνευση της κλοπής, ανέφερε το SecurityScorecard.