Malware GlassWorm wykorzystuje Solana Dead Drops do kradzieży danych z przeglądarek i portfeli krypto

Cyberprzestępcy znaleźli nowy, wyrafinowany sposób na ukrycie swojej infrastruktury przed wzrokiem badaczy bezpieczeństwa, wykorzystując do tego publiczne sieci blockchain. Najnowsza ewolucja kampanii znanej jako GlassWorm pokazuje, jak tradycyjne techniki infekcji łączą się z nowoczesnymi technologiami Web3, tworząc wieloetapowy proces kradzieży danych. Atakujący wykorzystują sieć Solana jako tzw. "dead drop", czyli martwy punkt kontaktowy, służący do bezpiecznego przekazywania instrukcji i adresów serwerów sterujących (C2) do zainfekowanych maszyn.

Mechanizm działania GlassWorm jest precyzyjny i nastawiony na maksymalną skuteczność w środowiskach korporacyjnych oraz prywatnych. Zamiast polegać na statycznych adresach IP, które łatwo zablokować na poziomie firewalla, złośliwe oprogramowanie odczytuje dane zapisane w transakcjach na blockchainie Solana. Dzięki temu infrastruktura sterująca staje się niezwykle odporna na próby zdjęcia (take-down) przez organy ścigania, ponieważ usunięcie danych z publicznego łańcucha bloków jest praktycznie niemożliwe. To podejście pozwala napastnikom na dynamiczne aktualizowanie parametrów kampanii bez konieczności modyfikowania samego kodu malware'u.

Iluzja produktywności czyli fałszywe Google Docs

Kluczowym elementem arsenału GlassWorm jest złośliwe rozszerzenie do przeglądarki Google Chrome, które podszywa się pod oficjalną, offline'ową wersję Google Docs. Użytkownik, przekonany, że instaluje przydatne narzędzie do pracy biurowej, w rzeczywistości wprowadza do swojego systemu zaawansowanego trojana typu Remote Access Trojan (RAT). Rozszerzenie to działa w tle, integrując się głęboko z procesami przeglądarki i monitorując niemal każdą aktywność ofiary.

Możliwości tego narzędzia są przerażająco szerokie. Według badaczy, GlassWorm potrafi rejestrować każde uderzenie klawiszy (keylogging), co pozwala na przejmowanie haseł wpisywanych na dowolnych stronach internetowych. Ponadto, malware wykonuje zrzuty ekranu w krytycznych momentach, kradnie pliki cookies oraz tokeny sesyjne. To ostatnie jest szczególnie niebezpieczne, ponieważ pozwala atakującym na przejęcie aktywnych sesji w bankowości elektronicznej lub usługach chmurowych bez konieczności podawania hasła czy przechodzenia przez dwuetapową weryfikację (2FA).

Celownik ustawiony na kryptowaluty i dane przeglądarki

W dobie cyfrowych finansów, GlassWorm nie ogranicza się jedynie do tradycyjnych danych logowania. Kampania wykazuje silne ukierunkowanie na kradzież aktywów kryptowalutowych. Malware przeszukuje lokalne pliki systemowe w poszukiwaniu kluczy prywatnych, fraz mnemonicznych oraz danych z portfeli zainstalowanych jako wtyczki przeglądarkowe. Połączenie kradzieży danych z Google Chrome oraz monitorowania schowka systemowego sprawia, że każda transakcja krypto przeprowadzana na zainfekowanym komputerze obarczona jest gigantycznym ryzykiem.

Wieloetapowy framework GlassWorm pozwala na instalację dodatkowych modułów w zależności od tego, co atakujący znajdą na komputerze ofiary. Jeśli system okaże się częścią sieci korporacyjnej, RAT może posłużyć jako przyczółek do dalszej penetracji infrastruktury firmy. Wykorzystanie techniki lateral movement, polegającej na przemieszczaniu się wewnątrz sieci, staje się znacznie prostsze, gdy napastnik dysponuje pełnym dostępem zdalnym i zestawem skradzionych poświadczeń administratora.

• Kradzież poświadczeń: Przejmowanie loginów i haseł bezpośrednio z formularzy przeglądarki.
• Eksfiltracja sesji: Kopiowanie tokenów sesyjnych umożliwiających ominięcie mechanizmów MFA.
• Monitoring wizualny: Regularne wykonywanie zrzutów ekranu pulpitu i okien aplikacji.
• Ataki na Web3: Specjalistyczne moduły do wykrywania i opróżniania portfeli kryptowalutowych.

Od VPN do architektury Zero Trust

Tradycyjne metody zabezpieczania dostępu, takie jak standardowe połączenia VPN, okazują się niewystarczające w starciu z zagrożeniami klasy GlassWorm. Kiedy urządzenie końcowe zostaje zainfekowane trojanem typu RAT, bezpieczny tunel VPN staje się wręcz autostradą dla napastnika, pozwalającą mu na swobodne poruszanie się po zasobach firmy. Odpowiedzią na tę eskalację jest modernizacja podejścia do bezpieczeństwa i wdrożenie modelu Zero Trust Network Access (ZTNA).

Zamiast ufać każdemu urządzeniu wewnątrz sieci, ZTNA zakłada, że każde połączenie musi być weryfikowane pod kątem tożsamości użytkownika, stanu urządzenia oraz kontekstu próby dostępu. Łączenie użytkowników bezpośrednio z konkretnymi aplikacjami, a nie z całą siecią, skutecznie eliminuje możliwość lateral movement. W kontekście kampanii takich jak GlassWorm, gdzie malware maskuje się jako legalne oprogramowanie biurowe, restrykcyjna kontrola aplikacji i stałe monitorowanie anomalii w ruchu wychodzącym do nietypowych punktów końcowych (jak węzły sieci Solana) staje się kluczową linią obrony.

Strategia obronna musi dziś ewoluować szybciej niż metody hakerów. Wykorzystanie Solana dead drops pokazuje, że granica między technologiami finansowymi a narzędziami cyberprzestępczymi ulega całkowitemu zatarciu. Firmy, które nie odejdą od przestarzałych modeli opartych na obwodzie sieci, będą wystawione na straty, których nie zdoła naprawić żadna standardowa polisa ubezpieczeniowa. Przyszłość ochrony danych leży w całkowitej rezygnacji z domyślnego zaufania na rzecz granulacji dostępu i ciągłej autoryzacji każdego procesu w systemie.