18/12/24
По информации компании Morphisec, вирус написан на языке Go, а также оснащён передовыми техниками маскировки и противоанализа, что делает его эффективным инструментом для современных кибератак.
Атаки осуществляются через поддельные уведомления об обновлениях, распространяемые на взломанных сайтах WordPress, через малвертайзинг, фишинговые письма с ссылками на фейковые страницы обновлений, поддельные CAPTCHA и социальные сети. Все методы используют компонент Microsoft Edge Webview2 для выполнения вредоносного кода, пишут в Securitylab.
Особенностью CoinLurker является метод EtherHiding. Заражённые сайты внедряют скрипты, которые через Web3-инфраструктуру загружают финальный вредонос с Bitbucket, маскирующийся под легитимные файлы — например, «UpdateMe.exe» или «SecurityPatch.exe». При этом исполняемые файлы подписаны украденным сертификатом Extended Validation, что помогает обходить защитные механизмы.
Многоуровневый инжектор впоследствии внедряет вредонос в процесс Microsoft Edge («msedge.exe»). CoinLurker активно скрывает свои действия, декодируя полезную нагрузку в памяти во время выполнения и применяя условные проверки и манипуляции с памятью для усложнения анализа.
Основная цель вируса — кража данных из криптовалютных кошельков Bitcoin, Ethereum, Ledger Live и Exodus, а также из приложений Telegram, Discord и FileZilla. Исследователь Надaв Лорбер подчёркивает, что масштабный сбор данных свидетельствует о фокусе на ценной криптовалютной информации и пользовательских учётных данных.
