PaloAltoNetworks公司的Unit42威胁研究团队最近发现了一种被命名为“ComboJack”的新型恶意软件,能够检测目标受害者何时将加密货币钱包地址复制到了Windows剪贴板,并通过将这个地址替换为其开发者所持有的钱包地址来窃取资金。
在2017年6月份,由卡巴斯基实验室发现的CryptoShuffler成为首个利用这种策略的恶意软件,并在当时成功获取到了至少价值15万美元的比特币。ComboJack和CryptoShuffler最大的区别就在于ComboJack支持多种加密货币,而不仅仅是比特币。
报告:以加密货币为目标的恶意软件对受害者构成多种威胁:金色财经报道,斯洛伐克网络安全公司ESET的研究人员在周三的一份报告中称,他们在媒体文件的安装程序中发现了加密货币挖掘机器人的恶意代码。下载完成后,隐藏的应用程序将启动挖掘机器人,以劫持计算机功能并挖掘门罗币(XMR),还会在检测到GPU卡时捕获ETH。被称为“KryptoCibule”的恶意软件还可以将剪贴板中的钱包地址更改为与黑客关联的钱包地址。此外,还将搜索并窃取存储在主机硬盘驱动器上的加密货币密码、私钥或密钥短语。据悉,该恶意软件通过用户在点对点文件共享网络上共享受影响的媒体文件传播。[2020/9/3]
根据Unit42的说法,ComboJack所针对的加密货币除了比特币之外,还包括莱特币、门罗币和以太坊。此外,它还针对了一些流行的数字支付系统,如Qiwi、Yandex.Money和WebMoney。
动态 | 安全公司:InnfiRAT恶意软件潜伏在机器中窃取加密货币钱包数据:研究人员记录了一种新特洛伊木马程序的出现,该木马程序专门窃取与加密货币相关的数据。InnfiRAT恶意软件包括许多标准的特洛伊木马功能,但会专门潜伏在受感染的系统中寻找加密钱包凭证。新木马还将从打开的浏览器会话中获取信息。网络安全公司zScaler周四表示,用.NET编写的InnfiRAT很可能通过包含恶意附件或隐藏下载的网络钓鱼电子邮件传播。 (ZDNet)[2019/9/14]
Unit42表示,他们在上周一早些时候发现了这款恶意软件,它出现在一起针对日本和美国计算机用户发起的网络钓鱼活动中。钓鱼电子邮件以“遗失的护照”为主题,附件中包含了一个被称为是护照扫描件的PDF文件。
动态 | 黑客利用Xbash恶意软件进行挖矿:降维安全实验室关注到一款新的恶意软件Xbash,能够入侵Linux和Windows服务器,并挖掘加密货币,Xbash通过弱口令和未修补的漏洞来入侵Windows系统并在企业和家庭内网进行快速传播。此外,Xbash还可以删除基于Linux的数据库,并以恢复数据之名,勒索比特币赎金。
Xbash具有代码编译,代码压缩转换以及代码加密等反检测功能,以对抗反恶意软件查杀。降维安全实验室发现Xbash勒索软件挖掘的加密货币金额约6000美元。如果你想了解更多相关资讯,请联系降维安全实验室。[2018/9/18]
与Dridex和Locky使用的技术类似,这个PDF文件包含一个嵌入式RTF文件,其中包含有嵌入式远程对象,该对象试图利用DirectX漏洞。
在成功利用时,HTA文件会运行一系列PowerShell命令,下载并执行一个自解压文件。当然,整个感染链没有在这里结束。此SFX文件会在之后下载并运行另一个受密码保护的SFX文件,最后才是最终有效载荷ComboJack的安装。
在安装完成后,ComboJack会进入一个无限循环的命令执行模式。它被配置为每0.5秒扫描一次Windows剪贴板,以确认受害者是否复制了钱包地址。一旦确认,它将用硬编码的钱包地址取代这个地址,这样就能够让受害者在未验证钱包地址正确性的情况下将资金发送到ComboJack开发者所持有的钱包地址。
也许,你会认为这种依赖于受害者在完成交易之前不会检查钱包地址正确性的“偷窃”策略会显得很“拙劣”。但事实上,很少会有人在进行加密货币交易时对钱包地址进行手动输入,更别说对钱包地址进行逐个字符的验证。
我们都知道,加密货币钱包地址往往是一长串数字和字符的组合。无论是手动输入,还是逐个字符验证都会十分麻烦,而复制、粘贴则成为了加密货币持有者在日常交易中最为普遍采用的方式。
这就是为什么类似ComboJack或者CryptoShuffler这样的恶意软件只是简单地利用剪贴板就能够发起有效的攻击。随着加密货币的日益普及和价格上涨,我们有理由相信,此类恶意软件必定会在未来表现为更具威胁性。
本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。