По информациикомпанииMorphisec, вирус написан на языке Go, а также оснащён передовыми техниками маскировки и противоанализа, что делает его эффективным инструментом для современных кибератак. Атаки осуществляются через поддельные уведомления об обновлениях, распространяемые на взломанных сайтах WordPress, черезмалвертайзинг, фишинговые письма с ссылками на фейковые страницы обновлений, поддельные CAPTCHA и социальные сети. Все методы используют компонентMicrosoft Edge Webview2для выполнения вредоносного кода, пишут в Securitylab. Особенностью CoinLurker является метод EtherHiding. Заражённые сайты внедряют скрипты, которые через Web3-инфраструктуру загружают финальный вредонос с Bitbucket, маскирующийся под легитимные файлы — например, «UpdateMe.exe» или «SecurityPatch.exe». При этом исполняемые файлы подписаны украденным сертификатом Extended Validation, что помогает обходить защитные механизмы. Многоуровневый инжектор впоследствии внедряет вредонос в процесс Microsoft Edge («msedge.exe»). CoinLurker активно скрывает свои действия, декодируя полезную нагрузку в памяти во время выполнения и применяя условные проверки и манипуляции с памятью для усложнения анализа. Основная цель вируса — кража данных из криптовалютных кошельков Bitcoin, Ethereum, Ledger Live и Exodus, а также из приложений Telegram, Discord и FileZilla. Исследователь Надaв Лорбер подчёркивает, что масштабный сбор данных свидетельствует о фокусе на ценной криптовалютной информации и пользовательских учётных данных.
Злоумышленники используют фальшивые обновления ПО для распространения CoinLurker
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Правилах сервиса
Анализ
×