卡巴斯基实验室的研究人员发现了一种新的恶意软件,通过在设备的剪贴板中用自己的地址替换用户地址,从用户的钱包中窃取加密货币。
卡巴斯基实验室的研究人员发现了一种新的恶意软件,通过在设备的剪贴板中用自己的地址替换用户地址,从用户的钱包中窃取加密货币。网络罪犯针对流行的加密货币实施盗窃,例如比特币、以太坊、Zcash、Dash和Monero等。事实上,根据我们的数据,网络罪犯已经成功窃取了比特币钱包,总收入将近14万美元。此外,安全专家还发现了一个新的木马,专门用于Monero挖矿,目前已经发现一些样本。
随着加密货币在全球不断扩张,其很快就成为对网络罪犯具有吸引力的目标。卡巴斯基实验室已经注意到挖矿软件数量增多,影响了成千上万台计算机,为网络罪犯产生数十万美元的利润。之前,安全专家注意到网络罪犯开始使用并不是很先进的技术,同时在这一领域所花的时间和资源也越来越少。根据研究,加密货币盗窃程序从2014年开始兴起,使得很多拥有加密货币储蓄的用户面临风险。
卡巴斯基实验室的研究人员发现了一种新的CryptoShuffler木马,用来改变被感染设备的剪贴板(用于短期数据存储的软件设施)中用户的加密货币钱包的地址。多年来,剪贴板劫持攻击已经为人所知,可用于将用户重定向到恶意网站,也可针对在线支付系统进行攻击。但是,涉及加密货币主机地址的案例很少见。
对大多数加密货币来说,如果用户想要将加密货币转给另一名用户,他需要知道接收人的钱包ID——一个唯一的多位数字。这是CryptoShuffler如何利用系统需要这些数字进行操作来实施盗窃。
初始化后,CryptoShuffler木马开始监控设备的剪贴板,用户会在进行支付时使用这一功能。这一过程涉及拷贝钱包的数字,并将其粘贴到软件的“目标地址”栏中,用户进行交易。这种木马会将用户的钱包地址替换成恶意软件作者的钱包地址,这意味着当用户粘贴钱包ID到目标地址栏时,并不是自己想要付款的用户钱包地址。结果,受害者会将自己的钱直接转到网络罪犯,除非用户非常警觉,能够注意到钱包地址被替换。
后一种情况很少发生,因为多位数字和区块链钱包地址很难记住。所以,即使直接在用户的眼前,也很难界定交易行中的任何显著特征。
由于搜索钱包地址的简单性,剪贴板中的地址替换即时发生:大多数加密货币钱包在交易行中具有固定的位置并且总是使用一定数量的字符。因此,入侵者可以轻松地创建常规代码来替换它们。基于这项研究,CryptoShuffler支持众多常见的加密货币如比特币、以太坊、Zcash、Dash和Monero等。
到目前为止,根据卡巴斯基实验室研究人员的观察,CryptoShuffler木马背后的网络罪犯大都成功地攻击了比特币钱包 - 他们成功偷走了23 个比特币,相当于近140,000美元。其他钱包的被盗总额从几美元到几千美元不等。
“Cryptocurrency不再是一种遥远的技术了。它正在进入我们的日常生活,并积极地传播到世界各地,让更多人获取到,同时吸引网络罪犯的目标。最近我们观察到针对不同类型加密货币的恶意软件攻击有所增加,我们预计这一趋势将持续下去。因此,考虑加密货币投资的用户此时需要确保他们得到适当的保护,”卡巴斯基实验室恶意软件分析师Sergey Yunakovsky说。
专家们还发现了另一个针对Monero加密货币的木马—— DiscordiaMiner。这种木马被设计用来从远程服务器上传和运行文件。 根据研究,这种木马与今年早些时候发现的NukeBot木马有一些性能上相似之处。而NukeBot的木马的源代码已经在地下黑客论坛上进行了共享。
我们建议用户安装可靠的能够专门为金融交易提供保护的安全解决方案,例如卡巴斯基实验室旗舰版解决方案中的安全支付功能。为了提高安全性,此功能可扫描已知的被网络罪犯可利用的漏洞,不断检查特定恶意软件,利用浏览器保护技术拦截入侵,并特别保护可在敏感数据存储期间进行复制/粘贴操作。
卡巴斯基实验室产品能够成功检测和拦截这些恶意软件,检测名称为:
- Trojan-Banker.Win32.CryptoShuffler.gen
- DiscordiaMiner
想要了解更多最新发现的能够窃取加密货币钱包的恶意软件详情,请访问Securelist.com.
