Шкідливе ПЗ у MSI-інсталяторах атакує криптотрейдерів із червня 2025 року

Шкідливе ПЗ у MSI-інсталяторах атакує криптотрейдерів із червня 2025 року

Витончена кампанія зі шкідливим програмним забезпеченням, спрямована проти криптовалютних трейдерів, тихо діє з червня 2025 року, використовуючи оманливо простий, але ефективний прийом: жорстке кодування SSH-облікових даних і токенів GitLab безпосередньо всередині MSI-інсталяторів. Операція вже скомпрометувала понад 90 хостів і спеціально розроблена для захоплення акаунтів у криптоторгівлі шляхом поєднання системної розвідки, кейлогінгу та крадіжки даних браузера в єдиний скоординований ланцюжок атак. Для тих, хто зберігає або активно торгує цифровими активами, механіка цієї кампанії пояснює, чому покладатися виключно на апаратний гаманець — недостатній захист.

Як працює кампанія з MSI-інсталяторами: розвідка, кейлогінг і крадіжка з браузера

Атака починається, коли жертва запускає те, що виглядає як легітимний MSI-інсталятор — стандартний формат пакетів Windows, який використовують незліченні постачальники програмного забезпечення. Після запуску інсталятор розгортає набір шкідливого ПЗ із трьох модулів, що діють послідовно.

Перший модуль виконує системну розвідку, складаючи карту конфігурації зараженого хоста, мережевого середовища та встановленого програмного забезпечення. Цей етап дає зловмиснику чітке уявлення про те, з чим він має справу, перш ніж переходити до глибшого вторгнення. Другий модуль активує кейлогер, що фіксує все, що вводить жертва, включно з обліковими даними для входу на біржі, кодами двофакторної аутентифікації та парольними фразами гаманців. Третій модуль націлений на дані, збережені в браузері, — витягує збережені паролі, файли cookie сесій та записи автозаповнення, які можна використовувати для обходу аутентифікації на фінансових платформах, навіть не потребуючи безпосередньо пароля облікового запису.

Це поєднання навмисне. Кейлогінг перехоплює облікові дані в русі; крадіжка з браузера перехоплює облікові дані в стані спокою. Разом вони залишають дуже мало прогалин.

Чому жорстко закодовані облікові дані є системним ризиком

Що робить цю кампанію особливо примітною з точки зору досліджень безпеки — це не лише те, що вона робить із жертвами, а й те, що вона розкриває про самих зловмисників. Вбудування жорстко закодованих SSH-облікових даних і токенів GitLab всередину інсталятора означає, що шкідливе ПЗ несе в собі прямий, статичний зв'язок із власною серверною інфраструктурою.

Це є провалом операційної безпеки з боку зловмисника, і він не є унікальним для цієї групи. Коли розробники — незалежно від того, чи створюють вони легітимне програмне забезпечення, чи шкідливий інструментарій — жорстко кодують токени аутентифікації в скомпільовані або упаковані файли, ці облікові дані стають доступними для читання будь-ким, хто інспектує бінарний файл. Для захисників жорстко закодовані облікові дані в шкідливому ПЗ можуть розкрити сервери командування і управління, репозиторії коду і навіть внутрішній робочий процес розробки зловмисника. Для жертв та сама вада, яка може допомогти слідчим відстежити зловмисників, не забезпечує жодного захисту після того, як компрометація вже відбулася.

Ця закономірність відображає ширші тенденції у шкідливому ПЗ, що атакує хмарні середовища. Як висвітлювалося у матеріалі про шкідливе ПЗ PCPJack, що експлуатує хмарні облікові дані, фреймворки для крадіжки облікових даних дедалі частіше розглядають неналежно захищені токени як легкодоступну здобич — незалежно від того, чи належать ці токени жертвам, чи, як у цьому випадку, самим зловмисникам.

Хто є мішенню і чому криптотрейдери потрапляють під прицільний удар

Зосередженість кампанії на криптовалютних трейдерах не є випадковою. Криптоакаунти являють собою унікально привабливий профіль цілі: вони часто зберігають значну ліквідну цінність, транзакції незворотні після трансляції в блокчейн, а багато трейдерів одночасно використовують браузерні інтерфейси для управління позиціями на кількох біржах.

Остання точка є критичною. Торгівля через браузер означає, що збережені в браузері сесії, файли cookie та облікові дані є прямим шляхом до доступу до акаунту. Зловмисник, який перехопить дійсний файл cookie сесії з браузера, часто може аутентифікуватися на біржі, не ініціюючи запитів на введення пароля або двофакторного підтвердження, оскільки сама сесія вже є аутентифікованою. Компонент кейлогера потім охоплює будь-який сценарій, коли трейдер виходить із системи і входить знову, перехоплюючи свіжі облікові дані в режимі реального часу.

При вже підтверджених понад 90 скомпрометованих хостах масштаб кампанії свідчить про цілеспрямовану, але наполегливу операцію, а не про масовий підхід «стріляти в усіх підряд». Трейдери, які завантажували програмне забезпечення з неофіційних або неперевірених джерел із червня 2025 року, піддаються найбільшому ризику.

Як VPN, менеджери облікових даних і гігієна браузера зменшують поверхню атаки

Жоден окремий інструмент не усуває ризик, який представляє ця кампанія, однак кілька практик суттєво знижують вразливість.

VPN не запобігає виконанню шкідливого ПЗ, якщо воно вже потрапило на машину, але знижує ризик перехоплення трафіку та може обмежити видимість на мережевому рівні, яку зловмисник отримує під час фази розвідки. Важливіше те, що послідовне використання VPN на всіх пристроях допомагає перетворити мережеву гігієну на звичку, а не на запізнілу думку.

Менеджери облікових даних вирішують один із ключових векторів атаки: паролі, збережені в браузері. Коли облікові дані зберігаються у спеціалізованому зашифрованому менеджері, а не у вбудованому сховищі паролів браузера, крадіжка даних браузера дає значно менше корисної інформації. Більшість менеджерів облікових даних також підтримують генерацію унікальних складних паролів для кожного акаунту, що обмежує масштаб збитків у разі перехоплення одного набору облікових даних.

Гігієна браузера теж має значення. Трейдерам слід розглянути можливість використання окремого профілю браузера — або цілком окремого браузера — виключно для доступу до бірж. У цьому профілі не повинно бути збережених паролів, жодних розширень, крім абсолютно необхідних, а файли cookie слід очищати після кожної сесії. Файли cookie сесії не можна вкрасти з сесії, якої більше не існує.

Нарешті, дисципліна при встановленні програмного забезпечення є першою лінією захисту. MSI-файли, отримані поза офіційними сайтами постачальників або магазинами застосунків, несуть реальний ризик. Перевірка хешів файлів, перевірка підписів видавців і ставлення до будь-якого інсталятора, що вимагає вимкнення програмного забезпечення безпеки, як до негайного тривожного сигналу — все це може запобігти первинному запуску, який робить можливим усе інше.

Що це означає для вас

Якщо ви активно торгуєте криптовалютою або зберігаєте цифрові активи, доступні через браузерний інтерфейс, ця кампанія є прямим попередженням для вас. Апаратні гаманці захищають кошти в мережі, але не захищають акаунти на біржах — а саме там це шкідливе ПЗ призначене завдавати шкоди.

Почніть із аудиту того, де зараз зберігаються ваші облікові дані. Якщо паролі від бірж збережені в браузері, перенесіть їх до спеціалізованого менеджера облікових даних і згенеруйте нові унікальні паролі для кожної платформи. Перегляньте розширення браузера та видаліть усе, чим ви активно не користуєтеся. Перевірте історію завантажень на наявність будь-яких MSI-інсталяторів, отриманих після червня 2025 року з джерел, які ви не можете верифікувати.

Зростаюча витонченість операцій із крадіжки облікових даних — від кампаній із жорстко закодованими токенами, описаних тут, до багатовекторного експлуатування CVE, задокументованого у фреймворках для атак на хмарні середовища, — робить проактивну гігієну облікових даних одним із найефективніших засобів захисту, доступних індивідуальним користувачам. Витратити годину на аудит свого налаштування сьогодні значно менш болісно, ніж відновлюватися після захоплення акаунту завтра.