Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Атака MUT-9332: сложные методы взлома разработчиков Solidity

3
3 мин
В последние месяцы специалисты в области кибербезопасности выявили масштабную и сложную кампанию, реализованную хакером с псевдонимом MUT-9332. Целью атаки стали разработчики, работающие с языком программирования Solidity — основным инструментом для создания смарт-контрактов в экосистеме Ethereum. Анализ вредоносной активности демонстрирует, насколько изощрёнными становятся методы атак и какие риски несут расширения для браузеров и среды разработки. Основной вектор атаки начинается с выполнения скрипта PowerShell под названием a.txt. Его задача — загрузить в браузеры на базе Chromium вредоносное расширение extension.zip и изменить сочетания клавиш для сохранения, что обеспечивает автоматическое внедрение вредоносного кода. При этом a.txt содержит в себе дублирующую полезную нагрузку (1.txt) для закрепления расширения на устройстве жертвы. Далее процесс атаки разбивается на два этапа, на каждом из которых выполняются дополнительные скрипты (2.txt и 3.txt) с помощью PowerShell. После это
Оглавление
Источник: securitylabs.datadoghq.com
Источник: securitylabs.datadoghq.com

В последние месяцы специалисты в области кибербезопасности выявили масштабную и сложную кампанию, реализованную хакером с псевдонимом MUT-9332. Целью атаки стали разработчики, работающие с языком программирования Solidity — основным инструментом для создания смарт-контрактов в экосистеме Ethereum. Анализ вредоносной активности демонстрирует, насколько изощрёнными становятся методы атак и какие риски несут расширения для браузеров и среды разработки.

Механизм атаки: от PowerShell скриптов до вредоносных расширений

Основной вектор атаки начинается с выполнения скрипта PowerShell под названием a.txt. Его задача — загрузить в браузеры на базе Chromium вредоносное расширение extension.zip и изменить сочетания клавиш для сохранения, что обеспечивает автоматическое внедрение вредоносного кода. При этом a.txt содержит в себе дублирующую полезную нагрузку (1.txt) для закрепления расширения на устройстве жертвы.

Далее процесс атаки разбивается на два этапа, на каждом из которых выполняются дополнительные скрипты (2.txt и 3.txt) с помощью PowerShell. После этого запускается исполняемый файл myau.exe, предназначенный для кражи учетных данных криптовалютных кошельков и обхода защитных механизмов.

Стратегии обхода и устойчивость вредоносного ПО

Исполняемый файл myau.exe применяет сразу несколько тактик для обхода системной защиты:

  • Отключает сканирование штатного Windows Defender, изменяя его параметры исключения;
  • Вызывает функцию RtlSetProcessIsCritical, чтобы в случае завершения процесса вредоносного ПО нарушить стабильность системы;
  • Модифицирует параметры восстановления Windows, включая сброс реестрового раздела NoReboot и деактивацию среды восстановления OS;
  • Подключается к серверу управления (C2) по адресу https://myaunet.su/HprEZkZZZrtZEH/TMDSRNerS для проверки загруженных файлов и получения новой полезной нагрузки.

Опасность троянских расширений для Visual Studio Code

Особое внимание экспертов привлекли три вредоносных расширения для VS Code, связанные с разработкой на Solidity. Это solaibot, among-eth и blankebesxstnion. Изначально они были доступны в VS Code Marketplace, однако позже удалены из-за обнаружения вредоносного кода и цепочек заражения, которые маскируют вредоносную активность под легитимный функционал.

Используемые методы включают запутанный код и комплексные сценарии доставки вредоносных программ, что позволяет злоумышленникам эффективно похищать учетные данные криптокошельков и других приложений.

Функциональность компонента myaunet.exe и дополнительные риски

В частности, модуль myaunet.exe специализируется на краже данных пользователей из популярных приложений, таких как Discord и криптовалютные кошельки. Дополнительно он внедряет правила в брандмауэр, препятствуя обнаружению и обновлению защитных служб.

Вредоносное ПО также изменяет файл Windows hosts, перенаправляя сетевые обращения к антивирусным доменам на локальные или скомпрометированные ресурсы. Это позволяет:

  • Скрывать сетевую активность от защитных систем;
  • Загружать дополнительные полезные нагрузки из доверенных ранее скомпрометированных доменов;
  • Обеспечивать постоянство вредоносных компонентов на устройстве жертвы.

Выводы и рекомендации

Демонстрируемые в кампании хакера MUT-9332 творческие методы уклонения показывают, что угроза остаётся актуальной и эволюционирующей. Адаптация вредоносного ПО к новым мерам защиты указывает на высокий уровень технической подготовки злоумышленника.

Кроме того, выявленные уязвимости, связанные с расширяемостью таких платформ, как Visual Studio Code, — существенный риск для разработчиков и связанных с ними систем безопасности. Рекомендуется:

  • Проверять все устанавливаемые расширения, используя официальные источники и советы специалистов;
  • Регулярно сканировать системы на наличие вредоносного ПО;
  • Использовать многофакторную аутентификацию для криптовалютных кошельков;
  • Обновлять защитные средства и системы своевременно;
  • Ограничивать выполнение скриптов PowerShell и мониторить подозрительные активности.

Безопасность в области разработки смарт-контрактов требует особого внимания в свете новых угроз, чтобы защитить как данные проектов, так и средства пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атака MUT-9332: сложные методы взлома разработчиков Solidity".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются