加密貨幣交易網站,實際用來推送惡意軟件

2019 年 6 月 6 日 0 條評論 150 次閱讀 0 人點贊

惡意軟件發行商已經建立了一個偽裝成合法CryptoHopper加密貨幣交易平臺的站點,以便分發惡意軟件的有效負載,例如信息竊取木馬、惡意礦工和剪貼版劫持工具。

新攻擊活動
在惡意軟件研究人員Fumik0_發現的新攻擊活動中,威脅行為者創建了一個偽裝成CryptoHopper交易平臺的虛假站點,在用戶訪問時將自動下載Setup.exe執行程序,可如下所示:

加密貨幣交易網站,實際用來推送惡意軟件

其中這個Setup.exe可執行文件同樣使用了CryptoHopper的圖標,使它看起來像是來自該交易平臺的合法下載,但實際上這是一個Vidar信息竊取木馬。

執行該文件時,Vidar木馬將下載所需的庫,然后安裝另外兩個Qulab特洛伊木馬:一個充當惡意礦工,另一個充當剪貼板劫持工具。

為了保持持久性,該惡意軟件將創建計劃任務,每1分鐘都會自動啟動剪貼板劫持工具和惡意礦工可執行文件。

信息竊取工具
下載文件并配置持久性后,Vidar木馬將從受感染設備中收集大量數據,并在%ProgramData%文件夾中的隨機命名目錄下進行編譯,如下圖所示:

具體來說,Fumik0_解釋了Vidar將嘗試竊取以下信息:
瀏覽器cookie;
瀏覽器歷史記錄;
瀏覽器支付信息;
保存的登錄憑據;
加密貨幣錢包;
文本文件;
瀏覽器窗口自動填充信息;
Authy 2FA認證器數據庫
感染時的桌面截圖,等等。

隨后,這些信息將被上載到遠程服務器,以便攻擊者收集。成功上載信息后,該文件夾將自動從受感染設備中移除,只留下一些空文件夾。
由于CryptoHopper是一個加密貨幣交易平臺,如果其中一個用戶錯誤地訪問了這個虛假站點并安裝了該特洛伊木馬,他們的CryptoHopper登陸憑據可能被竊取并被非法用于竊取存儲在該平臺上的加密貨幣。

竊取加密貨幣
Vidar還將下載并安裝QuLab特洛伊木馬,該木馬將在受感染的設備上執行剪貼板劫持功能。

由于加密貨幣地址冗長且難記,人們通常將地址復制到Windows剪貼板中,然后再將它們粘貼到另一個應用程序中。當Qulab檢測到加密貨幣地址被復制到剪貼板時,它會將復制的地址替換為受其控制的地址,以竊取加密貨幣。

ice

這個人太懶什么東西都沒留下

一肖中特免费公开奖料