Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

SeaFlower: бэкдоры в web3-кошельках и кража начальных фраз

3 мин
С марта 2022 года исследователи обнаружили сложную киберугрозу под названием SeaFlower, нацеленную на пользователей кошельков web3. Особенность кампании — внедрение бэкдора в легитимные приложения кошельков (включая MetaMask и Coinbase), что позволяет в фоновом режиме похищать конфиденциальные данные, в первую очередь начальные фразы (seed phrases), при сохранении нормальной внешней работы приложения. Анализ показал, что злоумышленники используют несколько взаимосвязанных техник: Каждая внедрённая реализация содержит незначительные вариации в дизайне кода, но сохраняет единую цель — сбор учётных данных и seed phrases пользователей. Успешная компрометация приводит к прямой утечке начальных фраз и, как следствие, к потенциальной потере средств из кошелька. Поскольку интерфейс приложения остаётся привычным и работоспособным, пользователи редко подозревают подмену, особенно при скачивании ПО с поддельных сайтов или сторонних источников. «SeaFlower гарантирует сохранение первоначальной функ
Оглавление

С марта 2022 года исследователи обнаружили сложную киберугрозу под названием SeaFlower, нацеленную на пользователей кошельков web3. Особенность кампании — внедрение бэкдора в легитимные приложения кошельков (включая MetaMask и Coinbase), что позволяет в фоновом режиме похищать конфиденциальные данные, в первую очередь начальные фразы (seed phrases), при сохранении нормальной внешней работы приложения.

Как работает SeaFlower

Анализ показал, что злоумышленники используют несколько взаимосвязанных техник:

  • Инжекция бэкдор-кода в легитимные сборки приложений. При этом backdoored-версии внешне не отличаются от оригинала: пользовательский интерфейс работает как обычно, что затрудняет обнаружение.
  • Методы обратного инжиниринга и техники, распространённые в китайскоязычном сообществе моддеров — это подтверждается использованием фреймворков и библиотек с документацией на китайском языке и имен пользователей, связанных с моддинг-инструментами.
  • Создание клонированных веб-сайтов, имитирующих законных провайдеров кошельков, через которые распространяются компрометированные сборки. Распространение целенаправленно ориентировано на китайскоязычных пользователей и активно использует поисковые системы, в частности Baidu.
  • Мониторинг файловых операций внутри приложения с целью перехвата методов хранения, где сохраняются начальные фразы. В iOS-версии MetaMask зафиксирован молчаливый запрос на передачу seed phrase злоумышленникам сразу после настройки кошелька.
  • Для Android-версий обнаружена реализация бэкдора через внедрение smali-кода, что указывает на применение похожих техник и в других кошельках (imToken, TokenPocket и т. п.).

Каждая внедрённая реализация содержит незначительные вариации в дизайне кода, но сохраняет единую цель — сбор учётных данных и seed phrases пользователей.

Последствия для пользователей

Успешная компрометация приводит к прямой утечке начальных фраз и, как следствие, к потенциальной потере средств из кошелька. Поскольку интерфейс приложения остаётся привычным и работоспособным, пользователи редко подозревают подмену, особенно при скачивании ПО с поддельных сайтов или сторонних источников.

«SeaFlower гарантирует сохранение первоначальной функциональности кошельков при молчаливой перекачке критичных данных в фоновом режиме», — отмечают аналитики.

Рекомендации для защиты

Учитывая сложность и изощрённость векторов атак SeaFlower, эксперты советуют следующие меры предосторожности:

  • Загружать приложения только из официальных магазинов приложений (App Store, Google Play) и проверять разработчика перед установкой.
  • Избегать скачивания кошельков с неизвестных или клонированных сайтов; сверять домен и SSL-сертификат официального сайта.
  • Не вводить seed phrase в сторонние приложения или на сомнительных сайтах; хранить начальные фразы офлайн и в зашифрованном виде там, где это возможно.
  • Использовать аппаратные кошельки (hardware wallets) для долгосрочного хранения значительных сумм, когда это возможно.
  • Постоянный мониторинг и анализ версий приложений: подозрительные сборки, отличающиеся размерами, правами или поведением, должны вызывать настороженность.
  • Регулярно обновлять ОС и приложения — некоторые инъекции могут эксплуатировать известные уязвимости.

Дальнейшее расследование и выводы

Расследование SeaFlower продолжается. Ожидается, что дальнейшая аналитика даст больше информации об инфраструктуре угрозы и возможной причастности преступной хакерской группировки. Пока же ситуация подчёркивает необходимость повышенной бдительности: атаки на криптовалютные сервисы и DeFi остаются приоритетной целью злоумышленников, а их инструментарий становится всё более изощрённым.

Пользователям web3 рекомендуется соблюдать перечисленные меры безопасности и внимательно относиться к источникам загрузки приложений — это остаётся одним из наиболее эффективных способов снизить риски, связанные с SeaFlower.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "SeaFlower: бэкдоры в web3-кошельках и кража начальных фраз".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Финансовые мошенничества
343 тыс интересуются