O método "Dark Skippy" é uma vulnerabilidade descoberta recentemente em carteiras de hardware de Bitcoin que permite que hackers extraiam chaves privadas usando apenas duas transações assinadas. Este ataque funciona incorporando partes das palavras-semente de um usuário em nonces de baixa entropia durante a assinatura da transação. Esses nonces são então postados no blockchain, onde podem ser analisados usando o Algoritmo Kangaroo de Pollard para recuperar as palavras-semente originais.
🅃🄴🄲🄷🄰🄽🄳🅃🄸🄿🅂123
Imagine um grupo de ladrões mestres planejando roubar uma pintura inestimável de um museu altamente seguro. Eles sabem que entrar e pegar a pintura diretamente os faria ser pegos, então eles elaboram um plano elaborado.
Primeiro, os ladrões se dividem em equipes menores, cada uma com uma função específica. Uma equipe distrai os guardas, outra mexe nas câmeras de segurança e uma terceira entra furtivamente no cofre. Ao trabalhar nesses grupos pequenos e aparentemente inofensivos, eles evitam levantar suspeitas. Isso é como o estágio de Fragmentação de Código, onde o código malicioso é quebrado em pedaços pequenos e aparentemente inocentes que, por si só, não disparam nenhum alarme.
Em seguida, conforme os ladrões se movem pelo museu, eles mudam constantemente seus disfarces. Em um momento, eles são zeladores; no outro, eles são visitantes. Suas aparências continuam mudando, tornando difícil para a equipe de segurança reconhecê-los como uma ameaça. Isso reflete o estágio do Código Polimórfico, onde o código malicioso continua alterando sua aparência cada vez que é executado, tornando difícil para o software antivírus detectá-lo com base em padrões conhecidos.
Assim que chegam à pintura, em vez de levá-la para fora de forma suspeita, os ladrões a escondem em uma grande caixa etiquetada como "Materiais de Limpeza". A caixa é então transportada para fora do museu sem levantar nenhum alarme porque parece um item comum e inofensivo. Isso é análogo ao estágio da Esteganografia, onde o código malicioso é escondido dentro de um arquivo de aparência inocente, como uma imagem ou um documento, permitindo que ele ignore as verificações de segurança sem ser notado.
Conforme os ladrões se movem pelo museu, eles têm pessoas de dentro que verificam se há segurança extra ou vigilância. Se eles sentem algo incomum, como um guarda os observando muito de perto, eles mudam seu comportamento e agem como visitantes regulares, se misturando para evitar a detecção. Isso é semelhante ao estágio das Técnicas Antidepuração, onde o código malicioso verifica se está sendo analisado em um ambiente de depuração. Se ele detecta qualquer monitoramento, ele altera seu comportamento para evitar ser pego.
Finalmente, uma vez que a pintura está seguramente fora do museu, escondida na caixa, os ladrões se reagrupam e fazem sua fuga, revelando sua verdadeira intenção e levando a pintura para seu esconderijo. Isso é como o estágio de Execução e Entrega de Carga Útil, onde o código, tendo contornado todas as defesas, finalmente executa sua carga maliciosa, seja roubando dados, implantando ransomware ou comprometendo o sistema.
Como Dark Skippy rouba criptomoedas de carteiras
O Dark Skippy Method pode ser adaptado para roubar chaves privadas de uma carteira de criptomoeda mirando no software da carteira ou nos processos do sistema. Veja como isso poderia funcionar:
1. Fragmentação de código:
Visando a carteira: O invasor cria uma carga maliciosa projetada para interagir com ou monitorar a carteira de criptomoedas. Essa carga é fragmentada em pequenos pedaços para evitar a detecção.
Entrega silenciosa: o código fragmentado pode ser entregue por meio de um aplicativo aparentemente legítimo, atualização ou até mesmo incorporado em um arquivo comumente usado pela carteira.
2. Código Polimórfico:
Evasão de Segurança: Cada parte da carga maliciosa é ligeiramente alterada para evitar a detecção baseada em assinatura por ferramentas de segurança. Isso garante que o código possa ser instalado no sistema alvo sem disparar alarmes.
Remontagem dinâmica:Uma vez que os fragmentos estão no dispositivo alvo, eles se remontam no código malicioso completo, pronto para executar o ataque.
3. Esteganografia:
Ocultando a carga útil: O código malicioso pode estar oculto em arquivos não executáveis, como imagens ou documentos, que estão relacionados a transações de criptomoedas ou carteiras. Quando esses arquivos são abertos, o código oculto é extraído e executado.
Ativação: Após a extração, o código oculto pode interagir com o software da carteira, monitorar a atividade da área de transferência (onde os usuários geralmente copiam suas chaves privadas) ou escanear arquivos onde as chaves privadas são armazenadas.
4. Técnicas anti-depuração:
Evitando Detecção: O código malicioso verifica se está sendo executado em um ambiente de depuração ou em um sistema monitorado por ferramentas de segurança avançadas. Se tais condições forem detectadas, o código pode se desabilitar ou executar ações benignas para evitar revelar sua verdadeira intenção.
Cronometragem do ataque: o código aguarda um momento oportuno, como quando o usuário acessa sua carteira ou insere sua chave privada, para iniciar o processo de extração da chave.
5. Execução e entrega de carga útil:
Extração de Chave: O código malicioso monitora ativamente o processo da carteira, interceptando as chaves privadas quando elas são inseridas ou acessadas. Isso pode envolver keylogging, sequestro de área de transferência ou raspagem de memória.
Enviando as Chaves: Uma vez que as chaves privadas são capturadas, elas são criptografadas e enviadas para o servidor do invasor. O invasor pode então usar essas chaves para obter acesso não autorizado aos fundos de criptomoeda da vítima.
Cobrindo rastros: depois que as chaves são enviadas, o código malicioso pode se apagar ou alterar registros para remover qualquer vestígio de suas atividades, dificultando que a vítima entenda como a violação ocorreu.
⚡ Cenário de exemplo:
Ataque de Phishing: O usuário pode receber um e-mail ou mensagem contendo um anexo ou link malicioso. Isso pode aparecer como uma atualização de carteira ou uma confirmação de transação. Quando o usuário interage com esse arquivo, o Dark Skippy Method implanta o código polimórfico fragmentado em seu sistema.
Monitoramento: quando o usuário abre sua carteira de criptomoedas e acessa suas chaves privadas, o código malicioso monitora silenciosamente a atividade, interceptando as chaves.
Roubo: Com as chaves privadas roubadas, o invasor obtém controle total sobre a criptomoeda da vítima, transferindo fundos para suas próprias contas
Como roubar chaves privadas da carteira de hardware
Uma versão anterior do método exigia que a vítima postasse “dezenas” de transações no blockchain. Mas a nova versão “Dark Skippy” pode ser realizada mesmo se a vítima postar apenas algumas transações no blockchain. Além disso, o ataque pode ser executado mesmo se o usuário depender de um dispositivo separado para gerar palavras-semente.
O relatório de divulgação foi publicado por Lloyd Fournier, Nick Farrow e Robin Linus em 5 de agosto. Fournier e Farrow são cofundadores do fabricante de carteiras de hardware Frostsnap, enquanto Linus é codesenvolvedor dos protocolos Bitcoin ZeroSync e BitVM.
De acordo com o relatório, o firmware de uma carteira de hardware pode ser programado para incorporar partes das palavras-semente do usuário em “nonces secretos de baixa entropia”, que são então usados para assinar transações. As assinaturas resultantes são postadas no blockchain quando as transações são confirmadas. O invasor pode então escanear o blockchain para encontrar e registrar essas assinaturas.
As assinaturas resultantes contêm apenas “nonces públicos”, não as porções das palavras-semente em si. No entanto, o invasor pode inserir esses nonces públicos no Algoritmo Canguru de Pollard para calcular com sucesso os nonces secretos de suas versões públicas.
💡 Crédito de dados
> Cointelégrafo
> O Bloco
> Blog de hackers
🔹🔸🔹🔸🔹🔸🔹🔸🔹🔸🔹🔸🔹🔸🔹🔸
O mundo online é composto por muitos atores ruins, você deve estar vigilante para derrotá-los. Postaremos algumas maneiras autênticas de como você pode evitar esse tipo de situação em postagens futuras.
🔸🔹🔸🔹🔸🔹🔸🔹🔸🔹🔸🔹🔸🔹🔸🔹