Portefeuilles Electrum Bitcoin assiégés – investir sur crypto

Actualité btc


Par Adam Thomas et Jérôme Segura, avec des contributions supplémentaires de Vasilios Hioueras et S! Ri

Depuis au moins fin décembre 2018, de nombreux utilisateurs du très populaire portefeuille Electrum Bitcoin ont été victimes d'une série d'attaques par hameçonnage. Selon nos estimations, les escrocs générés dépassent 771 Bitcoins, soit environ 4 millions USD au taux de change actuel.

Les acteurs de la menace ont pu amener les utilisateurs à télécharger une version malveillante du portefeuille en exploitant une faiblesse du logiciel Electrum.

En conséquence, dans février Les développeurs derrière Electrum ont décidé d’exploiter la même faille dans leur propre logiciel afin de rediriger les utilisateurs vers le téléchargement de la dernière version corrigée. Le logiciel était dans un tel problème que dans Mars, les développeurs ont commencé à exploiter une autre vulnérabilité inconnue du public, attaquant essentiellement les clients vulnérables pour les empêcher de se connecter à de mauvais nœuds.

Peu de temps après, un réseau de zombies a lancé des attaques par déni de service (DDoS) contre les serveurs Electrum afin de susciter des représailles contre des développeurs qui avaient tenté de corriger le bogue. Les pirates ont inversé le scénario de sorte que les nœuds légitimes soient tellement submergés que les clients plus anciens doivent se connecter à des nœuds malveillants.

Dans cet article, nous avons mis en lumière le schéma de phishing utilisé pour publier la mise à jour malveillante d’Electrum, discuter de l’emplacement des fonds volés et, enfin, examiner les infections par logiciels malveillants directement liées au réseau de zombies DDoS.

Portefeuille Electrum 101

Pour avoir une meilleure idée du succès de ces attaques, il est utile de connaître les bases du fonctionnement du portefeuille Electrum.

Connu sous le nom de portefeuille «léger» Bitcoin, Electrum implémente une variante d’une technique décrite dans le livre blanc de Satoshi Nakamoto intitulé Bitcoin, intitulé Vérification simplifiée des paiements (SPV). SPV permet à un utilisateur d'envoyer et de recevoir des transactions sans télécharger une copie complète de la blockchain Bitcoin (d'une taille de plusieurs centaines de giga-octets).

À la place, Electrum fonctionne dans une configuration client / serveur. Le portefeuille (client) est programmé par défaut pour se connecter à un réseau de pairs (serveur) afin de vérifier la validité des transactions.

Bien qu’il s’agisse d’une méthode de transaction relativement sûre, les pirates ont profité du fait que toute personne est autorisée à fonctionner en tant que pair Electrum public. Comme indiqué ci-dessous, le nombre de pairs actifs sur le réseau Electrum a considérablement augmenté:

Source: http://vps.hsmiths.com:49001/munin/hsmiths.com/vps.hsmiths.com/electrumx_peers.html

Fausse notification de mise à jour du portefeuille Electrum

Le 26 décembre 2018, le développeur d'Electrum a publié un avertissement public sur la page officielle de GitHub fournissant des informations sur une attaque en cours:

Un séjour sans failleAux utilisateurs: lorsque vous diffusez une transaction, les serveurs peuvent vous informer des erreurs liées à la transaction. Dans les versions d’Electrum antérieures à la version 3.3.3, cette erreur concernait du texte arbitraire et, pire encore, il s’agissait de HTML / texte enrichi (il s’agissait de la valeur Qt par défaut). Ainsi, le serveur auquel vous êtes connecté peut essayer de vous duper en vous demandant d'installer des logiciels malveillants (déguisés en mises à jour). Vous devez mettre à jour Electrum à partir du site Web officiel afin que les serveurs ne puissent plus vous le faire. Si vous voyez ces messages / fenêtres pop-up, assurez-vous de ne pas les suivre et d’installer ce qu’ils vous demandent d’installer. Les messages ne sont que des messages, ils ne peuvent pas vous faire du mal par eux-mêmes.

Les acteurs de la menace ont essentiellement mené une attaque Sybil sur le réseau Electrum en introduisant plus de nœuds malveillants que de nœuds honnêtes.

Application portefeuille légitime d'Electrum affichant des nœuds malveillants

Si un utilisateur se connecte à un nœud malveillant (très probable) et tente d'envoyer une transaction via celui-ci, celle-ci sera bloquée en raison de la faiblesse d'Electrum permettant de recevoir et d'afficher du texte enrichi en HTML / texte arbitraire, comme la fausse mise à jour. message vu ci-dessous:

Code de phishing injecté dans l'application Electrum lors d'une tentative d'envoi de Bitcoins

Cette deuxième étape de l'attaque incite l'utilisateur à installer une version malveillante du portefeuille Electrum. Deux projets malveillants différents étaient actifs sur Github du 21 au 27 décembre.

hxxps: //github.com/electrum-project/electrum/releases/tag/3.4.1
hxxps: //github.com/electrum-wallet/electrum/releases
Dépôt d'applications malveillantes Electrum

Portefeuilles malicieux d'Electrum

Pour des raisons pratiques, nous désignerons les programmes malveillants suivants par les variantes 1 et 2. Toutefois, d’autres recherches ont révélé que les acteurs à l’origine de cette campagne spécifique sont en activité depuis un certain temps déjà. Il semble donc probable qu'il existait d'autres variantes de ce malware avant le 21 décembre 2018. Les variantes 1 et 2 semblent être exploitées par des acteurs distincts en fonction de plusieurs différences dans le malware.

Variante 1

La variante 1 se distingue par le fait que les auteurs de programmes malveillants ont implémenté une fonction permettant de télécharger des clés de portefeuille volées et des données de base sur un serveur distant. Des efforts supplémentaires ont été déployés pour s'assurer que cette fonction est maintenue masquée en masquant le code d'exfiltration de données à l'intérieur d'un fichier ne se trouvant pas normalement dans Electrum nommé initmodules.py.

Module non autorisé responsable de l'exfiltration de données

Comme mentionné, les domaines d'exfiltration ne sont pas visibles dans le code ci-dessus et sont construits au cours de l'exécution du malware. Il s’agit très probablement d’une technique utilisée par les auteurs de programmes malveillants pour rendre le code contenu dans initmodules.py légitime.

Outre le vol de données de portefeuille, tout solde présent dans le portefeuille est envoyé à l'une des nombreuses adresses publiques préprogrammées sous le contrôle des attaquants. L’adresse de destination choisie dépend du format d’adresse utilisé par le portefeuille Electrum des utilisateurs infectés.

Les adresses P2PKH (Pay-to-PubkeyHash) sont utilisées par défaut lors de l’installation et sont probablement le type d’adresse le plus couramment utilisé par l’utilisateur occasionnel de Bitcoin. Ce fait est évident lors de la recherche de l'activité de chaque adresse.

14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5 (Type d'adresse P2PKH)
Total reçus: 202.91141530 BTC ~ 776 243.23 USD

bc1q9h36cyfnqcxjeuw629kwmnp5a7k5pky8l2kzww
Total reçus: 0.01927492 BTC ~ 73.75 USD

1rTt8GePHv8LceXnujWqerUd81U29m857
Total reçu: 0 BTC

3CrC4UitJqNqdkXY5XbJfCaGnbxHkKNqzL
Total reçus: 15.22210788 BTC ~ 58 239,77 USD

1FmxAHft8trWjhRNvDsbjD8JNoSzDX8pfD
Total reçu: 0 BTC

Variante 1 Bitcoin total: 218.1527981 BTC
Variante 1 USD total: ~ 1.101.034,00 $

Exemple de clé privée étendue (xprv) envoyée à un serveur malveillant via HTTP POST
Exemples de mots de départ de portefeuille envoyés à un serveur malveillant via HTTP POST

Tous les domaines d’exfiltration de données malveillants observés lors de notre analyse de la variante 1 ont été créés simultanément et ont tous été observés lors de leur résolution en adresse IP 31.31.196.86. Cette adresse appartient à Reg.ru, une société d’hébergement basée à Moscou, en Russie.

Les fichiers binaires de la variante 1 sont également uniques par rapport aux dernières versions en raison du fait que ses programmes d’installation Windows ont été signés numériquement.

Application malveillante utilisant un certificat numérique

Fait intéressant, le certificat numérique utilisé pour signer l'un des fichiers Windows Electrum malveillants (EIZ Ltd) a récemment été utilisé pour signer un programme malveillant indépendant.

Variante 2

Comme la variante 1 réussissait si bien à voler des quantités substantielles de Bitcoin, il semblait presque inévitable que des attaques supplémentaires soient perpétrées par des acteurs de la menace cherchant à tirer profit de ce stratagème relativement facile. Assez sûrement, une deuxième variante de ces portefeuilles malveillants d’Electrum est apparue. Cette variante a attaqué de manière très agressive, dépassant le réseau Electrum et entraînant le vol de plus de Bitcoins que la variante 1.

Au lieu de rediriger les victimes vers un site Github malveillant, le Variant 2 héberge les téléchargements malveillants sur un domaine d'épellation similaire à celui du site de téléchargement Electrum légitime. Le contenu HTML est essentiellement une image miroir.

Fake website, un copy-cat du légitime

Les acteurs de la menace semblent bien comprendre Electrum et son code. Par exemple, ils ont désactivé les mises à jour automatiques, supprimé des invites, telles que «Oui, j'en suis sûr» et ont même empêché la réalisation d'opérations de remplacement par commission (RBF).

Contenu de main_window.py

Remplacer par taxe est une fonction qui a été ajoutée ultérieurement à la base de code Bitcoin, ce qui permettrait aux utilisateurs de créer essentiellement une transaction à double dépense. Dans ce cas, si vous connaissiez cette fonction (et probablement très peu), vous pouvez inverser le transfert de fonds volés en doublant l'utilisation de l'entrée avec des frais plus élevés.

Fonction de remplacement par taxe commentée dans le code screens.py

Par exemple, si vous installez le portefeuille malveillant et que vous perdez un tas de Bitcoin, l'un des seuls moyens de le récupérer consiste à tenter une transaction RBF pour inverser le programme malveillant. Mais vous devez agir rapidement avant que le malveillant soit confirmé. En désactivant cette fonctionnalité, les acteurs de la menace se sont assurés que cela ne serait pas possible.

Vous trouverez ci-dessous le code source modifié de la variante 2, un fichier script paytoedit.pyc redirigeant le paiement vers une adresse Bitcoin de l'attaquant codé en dur:

Adresse Bitcoin qui recevra les fonds volés
bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q
Total reçus: 187.8298 BTC / 941.436 USD

bc1q92md7868uun8vplp9te0vaecmxyc5rrphdyvxg
Total reçu: 55.9948 BTC / 201.326 USD

bc1q7hsnpd794pap2hd3htn8hszdfk5hzgsj5md9lz
Total reçu: 36.7358 BTC / 126.972 USD

bc1ql0p2lrnnxkxnw52phyq8tjr7elsqtnncad6mfv
Total reçu: 75.2927 BTC / 291.342 USD

bc1qyjkcthq9whn3e8h9dd26gjr9kd8pxmqdgvajwv
Total reçu: 21.8628 BTC / 84.678 USD

bc1qvr93mxj5ep58wlchdducthe89hcmk3a4uqpw3c
Total reçu: 27.3636 BTC / 138.733 USD

bc1qcla39fm0q8ka8th8ttpq0yxla30r430m4hgu3x
Total reçu: 232.6469 BTC / 1.166.068 USD

Variante 2 Bitcoin total: 637.7264 BTC
Variante 2 USD total: ~ 2 950 555,00 $

Où sont passées toutes les pièces?

Une analyse simple de blockchain sur les fonds volés par la variante 1 nous montre que les assaillants ont décomposé la BTC en plus petites quantités. Dans ce cas, 48,36 BTC sont principalement regroupés en 3,5 montants BTC suivis de 1,9 montants BTC.

Une telle tendance est probablement la preuve qu’une technique de blanchiment d’argent connue sous le nom de «smurfing» est utilisée. Avec 1,9 BTC équivalent à environ 7 000 USD, il est peu probable que des dépôts de ce montant entraînent un rapport de transaction en devise (CTR), ce montant étant inférieur au seuil de 10 000 USD.

De plus petits morceaux de Bitcoin étant blanchis

Enfin, les 11 sorties ci-dessus sont combinées à 15 autres avant d’être envoyées à 329nUnJxz5zgr4vnNPu8JNwpa3qEJfucQX, une adresse qui alimente l’adresse bien connue du portefeuille à chaud pour l’échange de crypto-monnaie Bitfinex.

Première étape avant d'atteindre le porte-monnaie Bitfinex
Dernière étape avant d’atteindre le porte-monnaie Bitfinex (1Kr6QSydW9bFQG1mXiPNNu6WpJGmUa9i1g)

Dimanche 14 avril, nous avons constaté que les assaillants à l'origine de la variante 2 venaient de vendre leur plus récent portefeuille au prix de 114,61050153 BTC (plus d'un demi-million de dollars):

Variante 2 Notification de portefeuille Bitcoin

Un grand nombre de mouvements de fonds volés de la variante 2 semblent suivre un schéma similaire. Jetons un coup d’œil au récent retrait de 38.38517511 BTC de l’adresse de l’attaquant «bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q». La transaction est toujours divisée en 2 sorties:

Transaction divisée en deux sorties

Prenant note du transfert de 36.38011271 BTC que nous reviendrons plus tard, suivons tout d’abord le transfert de 2.0050624 BTC avec l’adresse «1BCtXcP3gc7FygZMegeKUPsogo68aKRSPA», suivie de «1wotccCFTuLQdCv46Bz3czcosDDWH». Nous voyons une transaction contenant 2 sorties dans laquelle l'adresse «3DvWYYkzgHbyBgUTSjtPsLmkzs1R9frSrz» consomme tous les fonds. L'autre sortie nommée «non-adresse» correspond à ce que l'on appelle un code d'opération de script OP_RETURN. Cet opcode est généralement utilisé pour enregistrer des données sur la blockchain.

OP code de retour d'opcode

En effet, la transaction contient des données codées probablement stockées dans le cadre d’une transaction à signatures multiples:

Bien que l’objet exact des données stockées à l’aide de OP_RETURN soit inconnu, il n’a guère d’importance et nous pouvons toujours suivre l’évolution des fonds de la variante 2 de la CTB afin de connaître leur destination:

La sortie suivante, 1.96991794, de la transaction précédente, est consommée par l'ID de transaction f5abb14ffc1d57494934d10a2114b2e4fc812b7e7f73d0f6202a995d2bea1be, qui contient 445 entrées pour un total de 100.02103004 BTC.

Ces 100 BTC sont ensuite déplacés pour s’adresser à 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s, l’adresse de portefeuille active connue de Binance. Jetons un coup d’œil à la destination du 36.38011271 BTC que nous avons notée précédemment. Par souci de brièveté, nous suivons un chemin similaire en suivant les fonds, car ils sont divisés de la même manière que ceux ci-dessus:

Comme on le voit, 25,8 BTC sont envoyés à l'adresse «3MRqgoPe6vBNVEn9Fo85qK7zvaLb9e9T2x». De nombreuses adresses associées à ce portefeuille semblent être associées à ce que sont apparemment des sites Web frauduleux proposant de «doubler votre Bitcoin».

3FF1uZ5oEaSZYKCvGbywu39djsknrGeu96 – Continvest
3AxHFZ2ivJUBgveyNj1PQak6FsKBcLJ42N – Doubleur de bitcoins

Puisqu'il est hautement improbable que vous puissiez simplement doubler la quantité de Bitcoins que vous envoyez, il est probable que ces sites Web existent pour offrir une autre fonction, telle que mélanger / blanchir des fonds pour des criminels.

Contre-mesures et représailles

Face à de telles attaques généralisées contre leur base d'utilisateurs, les développeurs derrière Electrum ont décidé d'exploiter la même vulnérabilité afin de afficher une notification de mise à jour légitime. Toutefois, cela ne suffisait pas pour arrêter les attaquants. Aussi, Electrum a-t-il décidé par la suite de lancer des attaques par déni de service contre leurs propres utilisateurs pour les empêcher de se connecter à des nœuds non fiables.

Les criminels ont commencé à faire le contraire avec l'aide d'un botnet.

Une liste d'adresses IP d'attaque (comprenant 72 977 machines au moment de la rédaction) est en cours de mise à jour. Ce nombre a presque triplé en l'espace d'une semaine, ce qui confirme que les attaques se multiplient à un rythme rapide.

Adresses IP clientes attaquant les serveurs Electrum. Liste mise à jour toutes les quelques minutes.

Le malware derrière le botnet et les attaques DDoS

Bien que la taille exacte du botnet ne soit pas clairement connue, nous avons pu en savoir plus sur la manière dont les nouveaux robots sont recrutés. Nous avons découvert le malware derrière ce botnet via deux chemins d’infection différents – nous supposons qu’il en existe plusieurs autres. L'une était via une instance de Smoke Loader qui téléchargeait une charge secondaire, tandis que l'autre provenait du kit d'exploitation RIG.

Dans ce dernier cas, une campagne de publicité malveillante a été redirigée vers le kit d’exploitation RIG et a finalement livré un chargeur qui peut sembler être un chercheur de pièces, mais qui est en fait un malware qui transforme les ordinateurs infectés en bots individuels pour des attaques par déni de service contre les serveurs Electrum.

Les publicités malveillantes dans RIG EK poussent les logiciels malveillants Electrum derrière les attaques DDoS

Nous voyons le chargeur rassembler une liste de nœuds Electrum à attaquer en utilisant plusieurs adresses de portefeuille public. Chaque machine infectée commencera à marteler des nœuds Electrum légitimes pour faire des ravages.

Une analyse de ce chargeur confirme l'activité réseau que nous avons observée ci-dessus:

Inverser le chargeur montre les artefacts réseau

Il récupère un fichier volumineux (> 40 Mo) constitué de code compilé par Python (transactionservices.exe) pour le portefeuille Electrum et l'écrit sur le disque.

Ce fichier .exe est un fichier binaire compilé avec Python.

Il ajoute également un mécanisme de persistance pour un sous-processus appelé transactionserviceshelper.exe.

Mécanisme de persistance via la touche Run du registre
Vue du dossier d'une application malveillante Electrum

Attaques par déni de service contre les serveurs ElectrumX

Cette attaque consiste à inonder les serveurs ElectrumX sur le port 50002 ou 50001, comme le montre la capture de trafic suivante:

Attaques SYN flood observées à partir de la capture de paquets

Nous avons également remarqué un autre type de paquet désigné par retransmission parasite TCP. Cette opération est également appelée "retransmission inutile", le destinataire ayant déjà accusé réception mais l’initiateur l’a renvoyé quand même. Cependant, il est possible que ce trafic soit un sous-produit des attaques par saturation SYN.

Grande quantité de messages de retransmission non apparents vus lors de la capture du trafic

L’adresse IP de la machine de laboratoire sur laquelle nous avons utilisé le logiciel malveillant a fini par être inscrite sur la liste noire de cette même liste à jour de clients attaquant les serveurs Electrumx mentionnés ci-dessus, confirmant ainsi notre identité. temporaire présence dans ce botnet.

Machine infectée participant à des attaques contre des nœuds Electrum

Selon notre télémétrie, il s'agit de la distribution de la plupart des victimes participant à la DDoS au cours des derniers jours, en fonction des tentatives de connexion aux serveurs de commande et de contrôle des programmes malveillants.

Télémétrie à partir de terminaux infectés atteignant le C2

Attaques en cours et encore plus de vols à l'horizon

Quiconque surveille les crypto-monnaies sait qu’elles s’apprêtent à faire une course folle. Des acteurs déterminés ont exploité une vulnérabilité du portefeuille Bitcoin le plus populaire pour créer une attaque de phishing intelligente qui leur a permis de gagner plus de 3 millions USD en quelques mois seulement. D'autres criminels vont bientôt en prendre conscience.

Quand Electrum a réagi pour épargner plus de victimes de ce vol, les criminels ont riposté avec des attaques soutenues de type DDoS. Il y avait probablement une certaine animosité entre les deux parties, mais à mesure que le botnet continue de désactiver les nœuds Electrum légitimes, les réseaux malveillants obtiennent une promotion afin de poursuivre le cercle vicieux consistant à pousser la fausse mise à jour et à voler plus de victimes de leur crypto-monnaie.

Les personnes utilisant leurs propres serveurs Electrum peuvent atténuer les attaques DDoS de différentes manières. Ils peuvent configurer un travail cron pour télécharger la liste des adresses IP attaquantes et les bloquer. Ils peuvent également créer une règle iptables pour limiter le nombre de tentatives de connexion sur les ports connus attaqués.

Les utilisateurs du portefeuille Electrum doivent mettre à jour le logiciel à partir de la dernière version (3.3.4) à partir du référentiel officiel et faire particulièrement attention aux messages de mise à jour ou d’avertissement qui pourraient constituer une tentative de phishing déguisée.

Malwarebytes détecte les portefeuilles malveillants pour Mac OS X sous les noms OSX.ElectrumStealer et Electrum.Stealer pour Windows.

CIO

Binaires du portefeuille malicieux d'Electrum
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Faux domaines

btc-electrum[.]com
btcelectrum[.]org
downloadelectrum[.]com
downloadelectrum[.]org
électronique[.]net
électrum[.]bz
electrumapp[.]org
electrumapps[.]com
electrumbase[.]com
electrumbase[.]net
electrumbase[.]org
electrumbitcoin[.]org
electrumbtc[.]org
electrumbuild[.]com
electrumcircle[.]com
électro-client[.]org
electrumcore[.]com
electrumcore[.]net
electrumdownload[.]com
electrumdownload[.]org
electrume[.]com
electrume[.]org
electrumfix[.]com
electrumget[.]com
electrumget[.]com
electrumhub[.]com
réseau électrique[.]com
electrumofficial[.]com
electrumopen[.]org
électrumpgrade[.]com
sécurité électro[.]org
electrumsite[.]com
electrumsource[.]org
démarrage électronique[.]org
electrumtxn[.]com
electrumupdate[.]com
electrumupgrade[.]com
electrumupgrade[.]org
électroménager[.]com
électroménager[.]org
electrumweb[.]net
getelectrum[.]com
getelectrum[.]vivre
getelectrum[.]org
goelectrum[.]com
myelectrum[.]org

Adresses Bitcoin de l'attaquant

bc1qhsrl6ywvwx44zycz2tylpexza4xvtqkv6d903q
bc1q92md7868uun8vplp9te0vaecmxyc5rrphdyvxg
bc1q7hsnpd794pap2hd3htn8hszdfk5hzgsj5md9lz
bc1ql0p2lrnnxkxnw52phyq8tjr7elsqtnncad6mfv
bc1qyjkcthq9whn3e8h9dd26gjr9kd8pxmqdgvajwv
bc1q9h36cyfnqcxjeuw629kwmnp5a7k5pky8l2kzww
bc1qvr93mxj5ep58wlchdducthe89hcmk3a4uqpw3c
bc1qcla39fm0q8ka8th8ttpq0yxla30r430m4hgu3x
14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5
3CrC4UitJqNqdkXY5XbJfCaGnbxHkKNqzL
31rTt8GePHv8LceXnujWqerUd81U29m857
1FmxAHft8trWjhRNvDsbjD8JNoSzDX8pfD

Certificats numériques frauduleux / malveillants (Windows uniquement)

Nom: SOFTS PRO
Numéro de série: 15 8F D7 D2 FB 6E 69 E7 75 AB EE 6E
Nom: EIZ Ltd
Numéro de série: 06 6A F7 6B 79 4F 63 79 3C C0 CA 33 78 6F 07 47

Charge utile RIG EK

9296b210b782faecca8394b2bd7bf720ffa5c122b83c4ed462ba25d3e1b8ce9a

transactionservices.exe (portefeuille Electrum)

c3a7cf30428689a44328090b994ce593bbf2a68141fcbefb899dee4fec336198

IPs (hôte de portefeuille Electrum et configs)

178.159.37[.]113  
194.63.143[.]226
217.147.169[.]179
188.214.135[.]174





Traduit depuis https://blog.malwarebytes.com/cybercrime/2019/04/electrum-bitcoin-wallets-under-siege/