Złośliwe oprogramowanie poszukujące danych, nazwane CoinLurker, stanowi coraz poważniejsze zagrożenie w świecie cyberbezpieczeństwa. Przestępcy wykorzystują fałszywe powiadomienia o aktualizacji oprogramowania jako narzędzie do infekowania urządzeń. Według raportu badawczego opublikowanego przez Nadava Lorbera z firmy Morphisec, CoinLurker zostało napisane w języku Go i używa zaawansowanych technik zaciemniania kodu oraz systemów antyanalizy, co sprawia, że jest wysoce efektywnym narzędziem w nowoczesnych cyberatakach.
Ataki te opierają się na różnych sposobach oszustwa, takich jak przekierowania z reklam (tzw. malvertising), fałszywe strony internetowe udające aktualizacje, phishingowe e-maile przekierowujące użytkowników na strony podszywające się pod legalnych dostawców, czy nawet fałszywe komunikaty CAPTCHA. Zainfekowane strony, jak i linki rozsyłane za pośrednictwem mediów społecznościowych czy wiadomości, są wykorzystywane do rozprzestrzeniania zagrożenia. Metody te są zaprojektowane w sposób, który ma na celu nie tylko zmylić użytkownika, ale również ominąć standardowe systemy bezpieczeństwa.
Jednym z kluczowych elementów działania CoinLurker jest wykorzystanie komponentu Microsoft Edge Webview2, który pozwala na inicjację łańcucha infekcji i wykonanie złośliwego kodu. Webview2 wymaga preinstalowanych komponentów oraz interakcji użytkownika, co komplikuje analizę zagrożenia w środowiskach dynamicznych i piaskownicach (sandbox). Brak pełnej symulacji działań użytkownika przez piaskownice pozwala CoinLurkerowi unikać detekcji.
Jedna z bardziej zaawansowanych technik stosowanych w ataku nosi nazwę EtherHiding i polega na wstrzykiwaniu skryptów w zainfekowane strony. Skrypty te łączą się z infrastrukturą Web3, skąd ostatecznie pobierany jest ładunek z repozytorium Bitbucket. Pliki takie jak „UpdateMe.exe” czy „SecurityPatch.exe” maskują się jako legalne aplikacje. Aby jeszcze bardziej zmylić systemy bezpieczeństwa, pliki te są podpisane skradzionymi certyfikatami EV (Extended Validation).
Kiedy CoinLurker zostaje w systemie aktywowany, stosuje wielopoziomowe metody ukrywania swoich działań. Złośliwe oprogramowanie sprawdza, czy system został wcześniej zaatakowany, dekoduje swój kod bezpośrednio w pamięci podczas działania, a także zaciemnia ścieżkę wykonywania programu przy pomocy warunkowych sprawdzeń, niepotrzebnych zasobów czy iteracyjnych manipulacji pamięcią. Dzięki temu CoinLurker skutecznie unika wykrycia, wtapia się w legalne działania systemu i omija zabezpieczenia sieci oparte na analizie zachowań procesów.
Głównym celem CoinLurker jest kradzież danych związanych z kryptowalutami oraz danymi użytkowników. Po uzyskaniu dostępu do systemu, program łączy się z serwerem kontrolnym i zaczyna przeszukiwać zasoby systemowe, w szczególności katalogi związane z portfelami kryptowalutowymi, takimi jak Bitcoin, Ethereum, Ledger Live czy Exodus, a także z aplikacjami komunikacyjnymi, takimi jak Telegram, Discord i FileZilla. „Zakres działania CoinLurker mocno wskazuje, że jego głównym celem jest pozyskanie wartościowych danych dotyczących kryptowalut oraz danych logowania użytkowników” – zauważa Nadav Lorber. Ataki są skierowane na zarówno popularne, jak i niszowe portfele, co pokazuje wszechstronność i zdolności adaptacyjne złośliwego oprogramowania.
Rozwój CoinLurkera wpisuje się w szerszy trend coraz bardziej zaawansowanego wykorzystywania kampanii malvertisingowych przez cyberprzestępców. W jednym z przypadków wykryto, że pojedynczy sprawca prowadził aż 10 różnorodnych kampanii od końca 2024 roku. Do rozprzestrzeniania wirusów wykorzystywano reklamy w Google Search, które kierowały profesjonalistów graficznych do fałszywych stron udających legalne źródła oprogramowania, takie jak FreeCAD czy Rhinoceros 3D.
Co ciekawe, CoinLurker nie jest jedynym zagrożeniem w obiegu. W ostatnich miesiącach pojawiła się nowa rodzina malware’u nazwana I2PRAT. Wykorzystuje ona sieć peer-to-peer I2P do szyfrowanej komunikacji z serwerem dowodzenia i kontroli. Atak rozpoczyna się od phishingowych e-maili zawierających link do fałszywej strony CAPTCHA, które w rzeczywistości wykonują zakodowane polecenia PowerShell, prowadzące do pobrania i uruchomienia oprogramowania RAT z serwera kontrolującego.
Eksperci ds. bezpieczeństwa biją na alarm, zwracając uwagę na stale rosnącą pomysłowość cyberprzestępców. Zaawansowane techniki, takie jak EtherHiding, fałszywe aktualizacje czy malvertising, przypominają o konieczności zachowania czujności, szczególnie w obliczu tak dynamicznego rozwoju cyberzagrożeń. Ważne jest, aby użytkownicy unikali klikania w podejrzane linki i regularnie aktualizowali swoje rozwiązania bezpieczeństwa, zapewniając ochronę przed nowoczesnymi zagrożeniami, takimi jak CoinLurker.