安全動(dòng)態(tài)

偽造加密貨幣交易網(wǎng)站,實(shí)為推送惡意軟件
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-06-07    瀏覽次數(shù):
 

信息來(lái)源:mottoin

惡意軟件發(fā)行商已經(jīng)建立了一個(gè)偽裝成合法CryptoHopper加密貨幣交易平臺(tái)的站點(diǎn),以便分發(fā)惡意軟件的有效負(fù)載,例如信息竊取木馬、惡意礦工和剪貼版劫持工具。

CryptoHopper是一個(gè)加密交易平臺(tái),用戶可以構(gòu)建用于在各種市場(chǎng)上自動(dòng)交易加密貨幣的模型。

新攻擊活動(dòng)

在惡意軟件研究人員Fumik0_發(fā)現(xiàn)的新攻擊活動(dòng)中,威脅行為者創(chuàng)建了一個(gè)偽裝成CryptoHopper交易平臺(tái)的虛假站點(diǎn),在用戶訪問(wèn)時(shí)將自動(dòng)下載Setup.exe執(zhí)行程序,可如下所示:

虛假的Cryptohopper站點(diǎn)

其中這個(gè)Setup.exe可執(zhí)行文件同樣使用了CryptoHopper的圖標(biāo),使它看起來(lái)像是來(lái)自該交易平臺(tái)的合法下載,但實(shí)際上這是一個(gè)Vidar信息竊取木馬。

執(zhí)行該文件時(shí),Vidar木馬將下載所需的庫(kù),然后安裝另外兩個(gè)Qulab特洛伊木馬:一個(gè)充當(dāng)惡意礦工,另一個(gè)充當(dāng)剪貼板劫持工具。

Vidar木馬下載的文件

QuLab相關(guān)文件將被下載到以下文件夾中:

惡意軟件文件夾

為了保持持久性,該惡意軟件將創(chuàng)建計(jì)劃任務(wù),每1分鐘都會(huì)自動(dòng)啟動(dòng)剪貼板劫持工具和惡意礦工可執(zhí)行文件。

保持持久性的計(jì)劃任務(wù)

信息竊取工具

下載文件并配置持久性后,Vidar木馬將從受感染設(shè)備中收集大量數(shù)據(jù),并在%ProgramData%文件夾中的隨機(jī)命名目錄下進(jìn)行編譯,如下圖所示:

Vidar竊取的數(shù)據(jù)集合

具體來(lái)說(shuō),F(xiàn)umik0_解釋了Vidar將嘗試竊取以下信息:


  • 瀏覽器cookie;
  • 瀏覽器歷史記錄;
  • 瀏覽器支付信息;
  • 保存的登錄憑據(jù);
  • 加密貨幣錢包;
  • 文本文件;
  • 瀏覽器窗口自動(dòng)填充信息;
  • Authy 2FA認(rèn)證器數(shù)據(jù)庫(kù)
  • 感染時(shí)的桌面截圖,等等。


隨后,這些信息將被上載到遠(yuǎn)程服務(wù)器,以便攻擊者收集。成功上載信息后,該文件夾將自動(dòng)從受感染設(shè)備中移除,只留下一些空文件夾。

由于CryptoHopper是一個(gè)加密貨幣交易平臺(tái),如果其中一個(gè)用戶錯(cuò)誤地訪問(wèn)了這個(gè)虛假站點(diǎn)并安裝了該特洛伊木馬,他們的CryptoHopper登陸憑據(jù)可能被竊取并被非法用于竊取存儲(chǔ)在該平臺(tái)上的加密貨幣。

竊取加密貨幣

Vidar還將下載并安裝QuLab特洛伊木馬,該木馬將在受感染的設(shè)備上執(zhí)行剪貼板劫持功能。

由于加密貨幣地址冗長(zhǎng)且難記,人們通常將地址復(fù)制到Windows剪貼板中,然后再將它們粘貼到另一個(gè)應(yīng)用程序中。當(dāng)Qulab檢測(cè)到加密貨幣地址被復(fù)制到剪貼板時(shí),它會(huì)將復(fù)制的地址替換為受其控制的地址,以竊取加密貨幣。

剪貼板劫持工具選擇替代的加密貨幣地址如下表所示:

虛假站點(diǎn)攻擊越發(fā)常見(jiàn)

通過(guò)創(chuàng)建模仿合法服務(wù)商的虛假站點(diǎn)來(lái)推廣惡意軟件,這一現(xiàn)象已經(jīng)變得越來(lái)越普遍。例如,在今年5月份有研究人員發(fā)現(xiàn),有攻擊者創(chuàng)建了一個(gè)虛假站點(diǎn)來(lái)推廣名為Pirate Chick的假VPN軟件,實(shí)際上該軟件用于分發(fā)AZORult密碼竊取特洛伊木馬。

Pirate Chick站點(diǎn)

另一個(gè)案例是攻擊者創(chuàng)建一個(gè)虛假站點(diǎn)來(lái)推廣名為G-Cleaner的假Windows系統(tǒng)清理工具,實(shí)際上這也是信息竊取特洛伊木馬。

G-Cleaner站點(diǎn)

為了更好的保護(hù)自己,用戶應(yīng)該確保他們正在訪問(wèn)的站點(diǎn)是合法URL。此外,如果這些網(wǎng)站提供任何下載文件,首先應(yīng)掃描以驗(yàn)證其安全性,之后再進(jìn)行安裝。

 
 

上一篇:5G發(fā)牌,至少會(huì)帶來(lái)這些重大改變!

下一篇:工信部《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測(cè)實(shí)施辦法(征求意見(jiàn)稿)》發(fā)布