Gangi przestępcze wysyłają fałszywe aktualizacje do właścicieli portfeli Electrum, instalują złośliwe oprogramowanie i kradną środki użytkowników.

Prosta technika pomogła gangom cyberprzestępczym ukraść ponad 22 miliony dolarów środków użytkowników od użytkowników aplikacji portfela Electrum ; ZDNet dochodzenie odkrył

Ta konkretna technika została po raz pierwszy zauważona w grudniu 2018 roku . Od tego czasu wzorzec ataku został ponownie wykorzystany w wielu kampaniach w ciągu ostatnich dwóch lat.

ZDNet wyśledził wiele kont Bitcoin, na których przestępcy zebrali skradzione środki z ataków przeprowadzonych w latach 2019 i 2020, a niektóre ataki miały miejsce jeszcze w zeszłym miesiącu, we wrześniu 2020 r.

Raporty ofiar przesłane do portali nadużyć Bitcoin ujawniają tę samą historię

Użytkownicy aplikacji portfela Electrum Bitcoin otrzymali nieoczekiwaną prośbę o aktualizację za pośrednictwem wyskakującego komunikatu, zaktualizowali swój portfel, a środki zostały natychmiast skradzione i przesłane na konto Bitcoin atakującego.

Patrząc na to, jak cyberprzestępcy kradną fundusze, ta technika działa ze względu na wewnętrzne działanie aplikacji portfela Electrum i jej infrastruktury wewnętrznej.

Aby przetwarzać dowolne transakcje, portfele Electrum są zaprojektowane do łączenia się z łańcuchem bloków Bitcoin przez sieć serwerów Electrum – znaną jako ElectrumX.

Zdjęcie: Peter Kacherginsky

Jednak podczas gdy niektóre aplikacje portfela kontrolują, kto może zarządzać tymi serwerami, w otwartym ekosystemie Electrum sytuacja wygląda inaczej, w którym każdy może skonfigurować serwer bramy ElectrumX.

Od 2018 roku gangi cyberprzestępcze wykorzystują tę lukę, aby uruchomić szkodliwe serwery i czekać, aż użytkownicy losowo połączą się z ich systemami.

Kiedy tak się dzieje, atakujący instruują serwer, aby wyświetlał wyskakujące okienko na ekranie użytkownika, instruując użytkownika, aby uzyskać dostęp do adresu URL oraz pobrać i zainstalować aktualizację aplikacji portfela Electrum.