S3 Ep100: Браузер у браузері – як виявити атаку [Аудіо + текст]

Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.

ДУГ.  Deadbolt – він повернувся!

Велика кількість патчів!

І часові пояси… так, часові пояси.

Все це та багато іншого в подкасті Naked Security.

[МУЗИЧНИЙ МОДЕМ]

Ласкаво просимо в подкаст, усі.

Я Даг Аамот.

Зі мною, як завжди, Пол Даклін.

Пол, вітаю тебе зі 100-ю серією, друже!

---

КАЧКА.  Вау, Дуг!

Ви знаєте, коли я починав свою структуру каталогів для Series 3, я сміливо використовував -001 для першого епізоду.

---

ДУГ.  Я не. [СМІЄТЬСЯ]

---

КАЧКА.  Чи не -1 or -01.

---

ДУГ.  Розумно ...

---

КАЧКА.  Я мав велику віру!

І коли я збережу сьогоднішній файл, я буду радіти цьому.

---

ДУГ.  Так, і я буду цього боятися, тому що він вискочить наверх.

Що ж, мені доведеться розібратися з цим пізніше…

---

КАЧКА.  [СМІЄТЬСЯ] Ви можете перейменувати всі інші речі.

---

ДУГ.  Я знаю, я знаю.

[БУРМОЧЕННЯ] Не чекаю цього з нетерпінням... ось і моя середа.

У будь-якому випадку, давайте почнемо шоу з історії технологій.

Цього тижня, 12 вересня 1959 р. Луна 2, Також відомий як Друга радянська космічна ракета, став першим космічним апаратом, який досяг поверхні Місяця, і першим створеним людиною об'єктом, який встановив контакт з іншим небесним тілом.

Дуже круто.

---

КАЧКА.  Що це за довге ім'я?

«Друга радянська космічна ракета»?

---

ДУГ.  Так.

---

КАЧКА.  Місяць два набагато краще.

---

ДУГ.  Так, набагато краще!

---

КАЧКА.  Очевидно, як ви можете собі уявити, враховуючи, що це була ера космічних перегонів, виникало певне занепокоєння: «Як ми дізнаємося, що вони справді це зробили? Вони могли б просто сказати, що висадилися на Місяць, і, можливо, вони вигадують».

Мабуть, вони розробили протокол, який би дозволяв незалежне спостереження.

Вони передбачили час, коли він прибуде на Місяць, щоб врізатися в Місяць, і вони надіслали точний час, коли вони очікували цього, астроному у Великобританії.

І він незалежно спостерігав, щоб побачити, чи те, що вони сказали *буде* статися в той час *справді* сталося.

Тому вони навіть подумали: «Як підтвердити щось подібне?»

---

ДУГ.  Що ж, щодо складних речей, у нас є виправлення від Microsoft і Apple.

Отже, що тут помітного в цьому останньому раунді?

---

КАЧКА.  Ми, безумовно, – цього тижня вихідний вівторок, другий вівторок місяця.

У Patch Tuesday є дві вразливості, які були для мене помітними.

Один примітний тим, що він, очевидно, знаходиться в дикій природі – іншими словами, це був нульовий день.

І хоча це не дистанційне виконання коду, це трохи тривожить, оскільки це [ВИБАЧУЄТЬСЯ КАШЛЯЄ] вразливість файлу журналу, Дуг!

Це не зовсім так погано, як Log4J, де ви можете не лише змусити реєстратор поводитись неналежним чином, але й отримати його запустити довільний код для вас.

Але здається, що якщо ви надішлете якісь неправильні дані в драйвер загальної файлової системи журналу Windows, CLFS, ви можете обманом змусити систему підвищити вам системні привілеї.

Завжди погано, якщо ви входите як гість, а потім можете перетворити себе на системного адміністратора…

---

ДУГ.  [СМІЄТЬСЯ] Так!

---

КАЧКА.  Тобто CVE-2022-37969.

І ще один, який мені здався цікавим…

…на щастя, не в дикій природі, але це той, який вам справді потрібно виправити, бо я впевнений, що це той, на якому кіберзлочинці зосередяться на зворотній інженерії:

«Уразливість віддаленого виконання коду Windows TCP/IP», CVE-2022-34718.

Якщо ви пам'ятаєте Червоний кодекс та SQL Slammer, і ті неслухняні хробаки минулого, коли вони щойно прибули в мережевому пакеті та застрягли в системі...

Це навіть нижчий рівень.

Очевидно, помилка в обробці певних пакетів IPv6.

Отже, все, де прослуховується IPv6, а це майже будь-який комп’ютер з Windows, може бути під загрозою через це.

Як я вже сказав, цей патч не існує, тому шахраї ще не знайшли його, але я не сумніваюся, що вони візьмуть патч і спробують з’ясувати, чи зможуть вони спроектувати з нього експлойт, щоб виловити людей, які ще не зробили патч.

Бо якщо щось скаже: «Вау! Що, якби хтось написав хробака, який використовує це?»… це те, про що я б хвилювався.

---

ДУГ.  ОК.

А потім до Apple…

---

КАЧКА.  Нещодавно ми написали дві історії про патчі Apple, де раптово зненацька з’явилися патчі для iPhone, iPad і Mac проти два нульових дні в дикій природі.

Однією була помилка веб-переглядача або помилка, пов’язана з веб-переглядом, через яку ви могли зайти на невинний на вигляд веб-сайт і зловмисне програмне забезпечення могло потрапити на ваш комп’ютер, а також інша помилка, яка давала вам контроль на рівні ядра…

…що, як я сказав у минулому подкасті, для мене пахне шпигунським програмним забезпеченням – чимось, чим би зацікавився постачальник шпигунського програмного забезпечення чи справді серйозний «кібершахрай зі спостереження».

Потім було друге оновлення, на наш подив, для iOS 12, який, як ми всі думали, давно покинутий.

Там одну з цих помилок (пов’язану з браузером, яка дозволяла зламати шахраям) було виправлено.

І тоді, якраз коли я очікував iOS 16, усі ці електронні листи раптово почали потрапляти в мою папку «Вхідні» — одразу після того, як я перевірив «Чи вийшла iOS 16?» Чи можу я оновити його?»

Його не було, але потім я отримав усі ці електронні листи з повідомленням: «Ми щойно оновили iOS 15, і macOS Monterey, і Big Sur, і iPadOS 15″…

… і виявилося, що цього разу є ціла купа оновлень, а також абсолютно нове ядро ​​нульового дня.

І найцікавіше те, що після того, як я отримав сповіщення, я подумав: «Ну, давайте я перевірю ще раз…»

(Щоб ви могли запам'ятати, це Налаштування > Загальне > Оновлення програмного забезпечення на вашому iPhone або iPad.)

Ось і ось, мені запропонували оновлення до iOS 15, яке я вже мав, *або* я міг перейти до iOS 16.

І в iOS 16 також було це виправлення нульового дня (хоча теоретично iOS 16 ще не вийшла), тож я припускаю, що помилка також існувала в бета-версії.

У бюлетені Apple для iOS 16 його офіційно не було зазначено як нульовий день, але ми не можемо сказати, чи це тому, що експлойт, який побачила Apple, не працював належним чином на iOS 16, чи він не вважається нульовим. день, тому що iOS 16 тільки виходила.

---

ДУГ.  Так, я збирався сказати: ще ні в кого немає. [СМІХ]

---

КАЧКА.  Це була велика новина від Apple.

І важливо те, що коли ви підходите до свого телефону і говорите: «О, iOS 16 доступна»… якщо вас ще не цікавить iOS 16, вам все одно потрібно переконатися, що у вас є ця iOS 15 оновлення, через ядро ​​нульового дня.

Нульові дні ядра завжди є проблемою, оскільки це означає, що хтось там знає, як обійти розхвалені налаштування безпеки на вашому iPhone.

Помилка також стосується macOS Monterey і macOS Big Sur – це попередня версія, macOS 11.

Насправді, щоб не відзначитися, Big Sur насправді має *дві* помилки ядра нульового дня в дикій природі.

Немає новин про iOS 12, чого я очікував, і наразі нічого про macOS Catalina.

Catalina — це macOS 10, попередня версія, і знову ж таки, ми не знаємо, чи це оновлення з’явиться пізніше, чи воно зникло з краю світу й усе одно не отримуватиме оновлень.

На жаль, Apple не каже, тому ми не знаємо.

Тепер у більшості користувачів Apple буде ввімкнено автоматичні оновлення, але, як ми завжди говоримо, перевірте (незалежно від того, чи є у вас Mac, чи iPhone, чи iPad), тому що найгірше просто припустити, що ваше автоматичне оновлення Оновлення спрацювали та захистили вас…

…насправді щось пішло не так.

---

ДУГ.  Добре, дуже добре.

Тепер те, чого я з нетерпінням чекав, продовжую: «Як часові пояси мають відношення до ІТ-безпеки?»

---

КАЧКА.  Ну, виявляється, дуже багато, Дуг.

---

ДУГ.  [СМІЄТЬСЯ] Так, сер!

---

КАЧКА.  Поняття часових поясів дуже просте.

Вони дуже зручні для того, щоб керувати нашим життям, щоб наші годинники приблизно збігалися з тим, що відбувається на небі – тому вночі темно, а вдень світло. (Давайте проігноруємо перехід на літній час і припустимо, що в усьому світі ми маємо лише одну годину часових поясів, так що все дуже просто.)

Проблема виникає, коли ви фактично зберігаєте системні журнали в організації, де деякі з ваших серверів, деякі з ваших користувачів, деякі частини вашої мережі, деякі з ваших клієнтів знаходяться в інших частинах світу.

Коли ви записуєте у файл журналу, ви записуєте час із урахуванням часового поясу?

Коли ти ведеш свій журнал, Дуг, ти віднімаєш 5 годин (або 4 години на даний момент), які тобі потрібні, оскільки ти в Бостоні, тоді як я додаю одну годину, тому що я за лондонським часом, але зараз літо ?

Чи я запишу це в журналі, щоб *мені* було зрозуміло, коли я прочитаю журнал?

Або я пишу більш канонічний, однозначний час, використовуючи той самий часовий пояс для *всіх*, тож, коли я порівнюю журнали, які надходять з різних комп’ютерів, різних користувачів, різних частин світу в моїй мережі, я можу справді вибудовувати події?

Дуже важливо вибудовувати події, Дуг, особливо якщо ви реагуєте на загрози під час кібератаки.

Ви справді повинні знати, що було першим.

І якщо ви скажете: «О, це сталося лише о 3:3», це не допоможе мені, якщо я перебуваю в Сіднеї, тому що моя 3:XNUMX була вчора порівняно з вашою XNUMX:XNUMX.

Так я написав статтю на Naked Security про деякі способи, якими ви можете впоратися з цією проблемою під час реєстрації даних.

Моя особиста рекомендація полягає в тому, щоб використовувати спрощений формат позначки часу під назвою RFC 3339, де ви вставляєте чотиризначний рік, дефіс [символ дефіса, ASCII 0x2D], двозначний місяць, тире, двозначний день тощо, щоб ваші мітки часу дійсно сортувалися в алфавітному порядку.

І що ви записуєте всі свої часові пояси як зону tme, відому як Z (zed або zee), скорочення від Час зулу.

Це в основному означає UTC або всесвітній координований час.

Це майже, але не зовсім середній час за Грінвічем, і це час, на який зараз фактично внутрішньо налаштовано годинник майже кожного комп’ютера чи телефону.

Не намагайтеся компенсувати часові пояси, коли ви пишете в журнал, тому що тоді комусь доведеться декомпенсувати, коли вони намагатимуться вирівняти ваш журнал з усіма іншими – і є багато помилок, які крутять чашку та губу, Дуг.

Не ускладнювати.

Використовуйте канонічний простий текстовий формат, який точно визначає дату й час з точністю до секунди – або, у наші дні, мітки часу можуть навіть скорочуватися до наносекунд, якщо хочете.

І позбудьтеся часових поясів зі своїх журналів; позбавтеся літнього часу від ваших журналів; і просто записуйте все, на мій погляд, за Всесвітнім координованим часом...

…сполукано скорочене UTC, тому що назва англійською, а абревіатура французькою – якась іронія.

---

ДУГ.  Так.

---

КАЧКА.  
Я відчуваю спокусу сказати: «Знову не те, щоб я сильно переживав», як я зазвичай роблю, сміючись…

…але справді важливо розставляти речі в правильному порядку, особливо коли ви намагаєтесь вистежити кіберзлочинців.

---

ДУГ.  Гаразд, це добре – чудова порада.

І якщо ми зупинимося на темі кіберзлочинців, то ви чули про атаки Manipulator-in-the-Middle; ви чули про атаки Manipulator-in-the-Browser…

..тепер готуйтеся до атак браузера в браузері.

---

КАЧКА.  Так, це новий термін, який ми бачимо.

Я хотів це написати, тому що дослідники з компанії Group-IB, що спеціалізується на аналізі загроз, нещодавно написали статтю про це, і ЗМІ почали говорити про те, що «Агов, атаки браузера в браузері, дуже бійся» або щось інше. …

Ви думаєте: «Ну, цікаво, скільки людей насправді знають, що мається на увазі під атакою браузера в браузері?»

І найнеприємніше в цих атаках, Дуг, те, що технологічно вони надзвичайно прості.

Це така проста ідея.

---

ДУГ.  Вони майже мистецькі.

---

КАЧКА.  Так!

Це насправді не наука і технології, це мистецтво і дизайн, чи не так?

По суті, якщо ви коли-небудь займалися програмуванням на JavaScript (на благо чи на зло), ви знаєте, що одна з речей, які ви вставляєте на веб-сторінку, полягає в тому, що вони призначені для обмеження цією веб-сторінкою.

Отже, якщо ви відкриєте абсолютно нове вікно, ви очікуєте, що воно отримає абсолютно новий контекст браузера.

І якщо він завантажує свою сторінку з абсолютно нового сайту, скажімо, фішингового сайту, тоді він не матиме доступу до всіх змінних JavaScript, контексту, файлів cookie та всього, що було в головному вікні.

Отже, якщо ви відкриваєте окреме вікно, ви начебто обмежуєте свої можливості злому, якщо ви шахрай.

Однак, якщо ви відкриваєте щось у поточному вікні, ви значно обмежені щодо того, наскільки захоплюючим і «системним» ви можете зробити це виглядаючим, чи не так?

Оскільки ви не можете перезаписати адресний рядок… це задумано.

Ви не можете нічого писати за межами вікна веб-переглядача, тому ви не можете потайки розмістити вікно, яке виглядає як шпалери на робочому столі, ніби воно було там весь час.

Іншими словами, ви перебуваєте у вікні браузера, з якого почали.

Отже, ідея атаки «Браузер у браузері» полягає в тому, що ви починаєте зі звичайного веб-сайту, а потім створюєте у вікні веб-переглядача, яке у вас уже є, веб-сторінку, яка сама виглядає точно так само, як вікно браузера операційної системи. .

По суті, ви показуєте комусь *картинку* справжньої речі та переконуєте їх, що це *справжня річ.

На душі все так просто, Дуг!

Але проблема полягає в тому, що трохи ретельно попрацювавши, особливо якщо у вас є хороші навички CSS, ви *можете* зробити так, щоб щось, що знаходиться всередині існуючого вікна браузера, виглядало як власне вікно браузера.

І за допомогою трохи JavaScript ви навіть можете зробити так, щоб він міг змінювати розмір і переміщатися по екрану, і ви можете заповнити його HTML, який ви отримуєте зі стороннього веб-сайту.

Тепер ви можете задатися питанням… якщо шахраї все правильно розуміють, як, на землі, ви можете це сказати?

І хороша новина полягає в тому, що ви можете зробити абсолютно просту річ.

Якщо ви бачите щось схоже на вікно операційної системи, і у вас це підозріло (воно, по суті, з’являється над вікном браузера, оскільки воно має бути всередині нього)…

…спробуйте перемістити його *зі справжнього вікна веб-переглядача*, і якщо він «ув’язнений» у браузері, ви знаєте, що це не справжня справа!

Цікава річ у звіті дослідників Group-IB полягає в тому, що коли вони натрапили на це, шахраї фактично використовували його проти гравців ігор Steam.

І, звичайно, він хоче, щоб ви увійшли у свій обліковий запис Steam…

…і якби вас ввела в оману перша сторінка, то вона навіть завершилася двофакторною перевіркою автентифікації Steam.

І хитрість полягала в тому, що якби це справді *були* окремі вікна, ви могли б перетягнути їх в один бік головного вікна браузера, але це не так.

У цьому випадку, на щастя, кухарі не дуже добре зробили свій CSS.

Їхня творчість була поганою.

Але, як ми з вами багато разів говорили в подкасті, Дуг, іноді трапляються шахраї, які докладуть зусиль, щоб все виглядало ідеально.

За допомогою CSS ви буквально можете позиціонувати окремі пікселі, чи не так?

---

ДУГ.  CSS цікавий.

Це Cascading Style Sheets… мова, яку ви використовуєте для оформлення документів HTML, її дуже легко вивчити, але ще важче освоїти.

---

КАЧКА.  [СМІЄТЬСЯ] Звучить як ЦЕ, точно.

---

ДУГ.  [СМІЄТЬСЯ] Так, це як багато речей!

Але це одна з перших речей, які ви вивчаєте, коли вивчаєте HTML.

Якщо ви думаєте: «Я хочу, щоб ця веб-сторінка виглядала краще», ви вивчите CSS.

Отже, дивлячись на деякі з цих прикладів вихідного документа, на який ви посилалися зі статті, ви можете сказати, що буде дуже важко зробити дійсно хороший фейк, якщо ви не справді добре розбираєтесь у CSS.

Але якщо ви зробите це правильно, буде дуже важко зрозуміти, що це фальшивий документ…

… якщо ви не зробите, як ви сказали: спробуєте витягнути його з вікна та перемістити по робочому столу тощо.

Це веде до вашої другої точки зору: уважно огляньте підозрілі вікна.

Багато з них, ймовірно, не пройдуть перевірку зору, але якщо вони пройдуть, це буде дуже важко помітити.

Що підводить нас до третього...

«Якщо є сумніви/не видавайте».

Якщо це виглядає не зовсім правильно, і ви не можете остаточно сказати, що відбувається щось дивне, просто дотримуйтеся віршика!

---

КАЧКА.  І варто з підозрою ставитися до невідомих веб-сайтів, веб-сайтів, якими ви раніше не користувалися, які раптом кажуть: «Добре, ми попросимо вас увійти за допомогою свого облікового запису Google у вікні Google або Facebook у вікні Facebook. »

Або Steam у вікні Steam.

---

ДУГ.  Так.

Я ненавиджу використовувати тут слово Б, але це майже блискуче у своїй простоті.

Але знову ж таки, буде дуже важко знайти ідеальну відповідність пікселів за допомогою CSS і тому подібного.

---

КАЧКА.  Я вважаю, що важливо пам’ятати, що оскільки частиною симуляції є «хром» [жаргон для компонентів інтерфейсу користувача браузера] браузера, адресний рядок виглядатиме правильно.

Це може навіть виглядати ідеально.

Але справа в тому, що це не адресний рядок…

…це *картинка* адресного рядка.

---

ДУГ.  Абсолютно вірно!

Гаразд, обережно, всі!

І, якщо говорити про речі, які не є тим, чим вони здаються, я читаю про програми-вимагачі DEADBOLT і пристрої QNAP NAS, і мені здається, що ми нещодавно обговорювали саме цю історію.

---

КАЧКА.  Так, ми написано про це на жаль, декілька разів на Naked Security цього року.

Це один із тих випадків, коли те, що спрацювало для шахраїв одного разу, спрацювало двічі, тричі, чотири рази, п’ять разів.

І НАН, або Мережеве сховище пристрої є, якщо хочете, серверами чорної скриньки, які ви можете піти і купити – вони зазвичай працюють під керуванням якогось ядра Linux.

Ідея полягає в тому, що замість того, щоб купувати ліцензію на Windows або вивчати Linux, установіть Samba, налаштуйте її, навчіться ділитися файлами у своїй мережі…

…ви просто підключаєте цей пристрій, і «Бінго» починає працювати.

Це файловий сервер, доступний через Інтернет, і, на жаль, якщо у файловому сервері є вразливість, і ви (випадково чи планово) зробили його доступним через Інтернет, то шахраї можуть скористатися цією вразливістю, якщо вона є в цей пристрій NAS на відстані.

Вони можуть зашифрувати всі файли в ключовому сховищі вашої мережі, незалежно від того, чи це домашня мережа чи мережа малого бізнесу, і по суті вимагати від вас викупу, не турбуючись про атаку на окремі інші пристрої, наприклад ноутбуки та телефони на вашому мережі.

Таким чином, їм не потрібно возитися зі зловмисним програмним забезпеченням, яке заражає ваш ноутбук, і їм не потрібно вриватися у вашу мережу та тинятися, як традиційні злочинці-вимагачі.

По суті, вони шифрують усі ваші файли, а потім – щоб представити записку про викуп – вони просто змінюють (мені не варто сміятися, Дуг)… вони просто змінюють сторінку входу на вашому пристрої NAS.

Отже, коли ви виявляєте, що всі ваші файли переплутані, і ви думаєте: «Це смішно», і ви переходите через веб-браузер і підключаєтеся до нього, ви не отримуєте запит на введення пароля!

Ви отримуєте попередження: «Ваші файли заблоковано DEADBOLT. Що трапилось? Усі ваші файли зашифровано».

А потім приходять інструкції, як оплатити.

---

ДУГ.  Крім того, вони люб’язно запропонували QNAP виділити величезну суму, щоб розблокувати файли для всіх.

---

КАЧКА.  Скріншоти, які я маю в остання стаття на nakedsecurity.sophos.com показати:

1. Індивідуальні розшифровки за 0.03 біткойна, спочатку близько 1200 доларів США, коли ця штука вперше набула широкого поширення, зараз близько 600 доларів США.

2. Варіант BTC 5.00, коли QNAP повідомляють про вразливість, щоб вони могли її виправити, але вони, очевидно, не збираються платити, оскільки вже знають про вразливість. (Саме тому в цьому конкретному випадку є виправлення.)

3. Як ви сказали, існує опція 50 BTC (це зараз 1 мільйон доларів; коли ця перша історія вперше виникла, вона становила 2 мільйони доларів). Очевидно, якщо QNAP заплатить 1,000,000 XNUMX XNUMX доларів від імені будь-кого, хто міг бути зараженим, шахраї нададуть головний ключ дешифрування, якщо ви не проти.

І якщо ви подивитеся на їхній JavaScript, він фактично перевірить, чи збігається введений вами пароль з одним із *двох* хешів.

Один унікальний для вашої інфекції – шахраї щоразу налаштовують її, тому JavaScript містить хеш і не розкриває пароль.

І є ще один хеш, який, якщо ви можете його зламати, виглядає так, ніби він відновить головний пароль для всіх у світі…

… Я думаю, що це були просто шахраї, які тикали носом у всіх.

---

ДУГ.  Також цікаво, що викуп у біткойнах у розмірі 600 доларів США за кожного користувача є… Я не хочу сказати, що «не обурливо», але якщо ви заглянете в розділ коментарів до цієї статті, там є кілька людей, які говорять не лише про те, що заплатили викуп…

…але давайте перейдемо до запитання нашого читача тут.

Читач Майкл ділиться своїм досвідом із цією атакою, і він не один – у цьому розділі коментарів є й інші люди, які повідомляють про подібні речі.

У кількох коментарях він каже (я збираюся зробити з цього відвертий коментар):

«Я пройшов через це, і вийшов добре після того, як заплатив викуп. Знайти конкретний код повернення за допомогою мого ключа дешифрування було найважчим. Вивчив найцінніший урок».

У своєму наступному коментарі він розповідає про всі кроки, які йому довелося зробити, щоб справді знову запрацювати.

І він злізає з коня:

«Мені соромно говорити, що я працюю в ІТ понад 20 років, і мене укусила ця помилка QNAP uPNP. Радий, що пройшов це».

---

КАЧКА.  Вау, так, це досить гарне твердження, чи не так?

Майже ніби він каже: «Я б виступив проти цих шахраїв, але я програв парі, і це коштувало мені 600 доларів і купу часу».

Ааааа!

---

ДУГ.  Що він має на увазі під «конкретний код повернення з його ключем опису»?

---

КАЧКА.  Ах, так, це дуже цікаво... дуже інтригуюче. (Я намагаюся не говорити дивовижно-слеш-блискуче.) [СМІХ]

Я не хочу використовувати слово на С і казати, що це «розумно», але, начебто, це так.

Як зв'язатися з цими шахраями? Чи потрібна їм електронна адреса? Чи можна це простежити? Чи потрібен їм дарквеб-сайт?

Ці шахраї цього не роблять.

Тому що пам’ятайте, що існує один пристрій, а зловмисне програмне забезпечення налаштовується та упаковується, коли атакує цей пристрій, щоб мати унікальну адресу Bitcoin.

І, по суті, ви спілкуєтеся з цими шахраями, сплачуючи вказану суму біткойнів на їхні гаманці.

Мабуть, тому вони залишили суму порівняно скромною…

…Я не хочу припускати, що у кожного є 600 доларів, які можна викинути на викуп, але це не те, що ви ведете переговори заздалегідь, щоб вирішити, чи збираєтеся ви заплатити 100,000 80,000 доларів, або 42,000 XNUMX доларів, чи XNUMX XNUMX доларів.

Ви платите їм суму... без переговорів, без чату, без електронної пошти, без обміну миттєвими повідомленнями, без форуму підтримки.

Ви просто надсилаєте гроші на вказану біткойн-адресу, і вони, очевидно, матимуть список тих біткойн-адрес, які вони контролюють.

Коли гроші надходять, і вони бачать, що вони надійшли, вони знають, що ви (і тільки ви) заплатили, оскільки цей код гаманця унікальний.

А потім вони роблять те, що фактично (я використовую найбільші ефірні котирування у світі) «відшкодовують» у блокчейні, використовуючи транзакцію біткойнів на суму, Дуг, нуль доларів.

І ця відповідь, ця транзакція, насправді містить коментар. (Запам'ятайте Злом Poly Networks? Вони використовували коментарі блокчейну Ethereum, щоб спробувати сказати: «Шановний, містере Білий Капелюх, ви не повернете нам усі гроші?»

Отже, ви платите шахраям, таким чином даючи повідомлення, що ви хочете з ними взаємодіяти, і вони повертають вам 0 доларів плюс коментар із 32 шістнадцятковими символами…

…це 16 необроблених двійкових байтів, що є потрібним вам 128-бітним ключем дешифрування.

Ось як ви з ними розмовляєте.

І, очевидно, вони звели це до Т – як сказав Майкл, шахрайство дійсно працює.

І єдина проблема, яку мав Майкл, полягала в тому, що він не звик купувати біткойни або працювати з даними блокчейну та видобувати цей код повернення, який, по суті, є коментарем у транзакції «платіж», який він отримує назад за 0 доларів.

Отже, вони використовують технологію дуже підступними способами.

По суті, вони використовують блокчейн і як засіб оплати, і як засіб комунікації.

---

ДУГ.  Гаразд, дуже цікава історія.

Ми будемо стежити за цим.

І велике спасибі, Майкле, що надіслав цей коментар.

Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.

Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @NakedSecurity.

Це наше шоу на сьогодні – велике спасибі, що послухали.

Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу, щоб…

---

ОБИМ.  Залишайтеся в безпеці.

[МУЗИЧНИЙ МОДЕМ]