Μια απλή τεχνική βοήθησε τις συμμορίες των εγκλημάτων στον κυβερνοχώρο να κλέψουν περισσότερα από 22 εκατομμύρια δολάρια από χρήστες του wallet app Electrum Bitcoin.
Αυτή η συγκεκριμένη τεχνική εμφανίστηκε για πρώτη φορά τον Δεκέμβριο του 2018. Από τότε, το μοτίβο της επίθεσης επαναχρησιμοποιήθηκε σε πολλές εκστρατείες τα τελευταία δύο χρόνια.
Το ZDNet έχει εντοπίσει πολλούς λογαριασμούς Bitcoin, όπου εγκληματίες έχουν συγκεντρώσει κλεμμένα χρήματα από επιθέσεις που πραγματοποίησαν κατά τη διάρκεια του 2019 και του 2020, με κάποιες επιθέσεις να πραγματοποιούνται μόλις τον περασμένο μήνα, τον Σεπτέμβριο του 2020.
Αναφορές από θύματα που υποβλήθηκαν στο Bitcoin αποκαλύπτουν την ίδια ιστορία.
Οι χρήστες του wallet app Electrum Bitcoin έλαβαν ένα απροσδόκητο αίτημα ενημέρωσης μέσω ενός αναδυόμενου μηνύματος, ενημέρωσαν το πορτοφόλι τους και τα χρήματα κλέφθηκαν αμέσως και στάλθηκαν στον λογαριασμό Bitcoin ενός εισβολέα.
Αυτή η τεχνική λειτουργεί λόγω των εσωτερικών λειτουργιών του wallet app Electrum και της υποδομής υποστήριξης.
Για την επεξεργασία οποιωνδήποτε συναλλαγών, τα πορτοφόλια της Electrum έχουν σχεδιαστεί για σύνδεση με το blockchain Bitcoin μέσω ενός network από servers Electrum – γνωστών ως ElectrumX.
Ωστόσο, ενώ ορισμένα wallet apps ελέγχουν ποιος μπορεί να διαχειριστεί αυτούς τους servers, τα πράγματα είναι διαφορετικά στο ανοιχτό οικοσύστημα της Electrum, όπου όλοι μπορούν να δημιουργήσουν έναν gateway server ElectrumX.
Από το 2018, συμμορίες εγκλήματος στον κυβερνοχώρο κάνουν κατάχρηση αυτού του κενού για να δημιουργήσουν κακόβουλους servers και να περιμένουν τους χρήστες να συνδεθούν τυχαία στα συστήματά τους.
Όταν συμβεί αυτό, οι εισβολείς δίνουν εντολή στον server να εμφανίσει ένα αναδυόμενο παράθυρο στην οθόνη του χρήστη, δίνοντας εντολή στον χρήστη να αποκτήσει πρόσβαση σε μια διεύθυνση URL και να πραγματοποιήσει λήψη και εγκατάσταση μιας ενημέρωσης εφαρμογής πορτοφολιού Electrum.
Συνήθως, αυτός ο σύνδεσμος λήψης ενημερωμένων εκδόσεων δεν προορίζεται για τον επίσημο ιστότοπο της Electrum, που βρίσκεται στο electrum.org, αλλά για παρόμοια domain ή GitHub repositories.
Εάν οι χρήστες δεν δώσουν προσοχή στη διεύθυνση URL, τελικά καταλήγουν να εγκαταστήσουν μια κακόβουλη έκδοση του πορτοφολιού Electrum, η οποία την επόμενη φορά που ο χρήστης θα προσπαθήσει να χρησιμοποιήσει θα του ζητήσει έναν κωδικό πρόσβασης (OTP) μίας χρήσης.
Κανονικά, αυτοί οι κωδικοί ζητούνται μόνο πριν από την αποστολή χρημάτων και όχι κατά την εκκίνηση του πορτοφολιού της Electrum. Εάν οι χρήστες εισάγουν τον απαιτούμενο κωδικό – και οι περισσότεροι πιστεύουν ότι χρησιμοποιούν το επίσημο πορτοφόλι – δίνουν την επίσημη έγκριση στο κακόβουλο πορτοφόλι να μεταφέρει όλα τα χρήματά τους στον λογαριασμό ενός εισβολέα.
Από τον Δεκέμβριο του 2018, οι χρήστες έχουν αναφέρει περίπου δέκα λογαριασμούς Bitcoin που χρησιμοποιούνται σε αυτήν τη στιγμή ως “ψεύτικη απάτη ενημέρωσης Electrum”.
Αυτά τα πορτοφόλια διαθέτουν σήμερα bitcoin του 1980, το οποίο είναι περίπου πάνω από 22 εκατομμύρια δολάρια. Λαμβάνοντας υπόψη τα 202 bitcoin που έχουν κλαπεί στην αρχική μας έκθεση του Δεκεμβρίου 2018, αυτό φέρνει το σύνολο σε περισσότερα από 24,6 εκατομμύρια $.
Ωστόσο, πρέπει να ειπωθεί ότι ένα μεγάλο μέρος αυτών των κεφαλαίων φαίνεται να έχει κλαπεί σε ένα μόνο περιστατικό που έγινε τον Αύγουστο, όταν ένας χρήστης ανέφερε ότι έχασε 1.400 bitcoin (~ 15,8 εκατομμύρια $) μετά την ενημέρωση ενός πορτοφολιού Electrum.
Δεδομένου ότι αυτή η τεχνική εμφανίστηκε για πρώτη φορά στα τέλη του 2018, η ομάδα της Electrum έχει λάβει αρκετά μέτρα για να μετριάσει αυτές τις επιθέσεις.
