想象一下,有一天你决定使用比特币来购物,比如买披萨。你从披萨店的网站复制了钱包地址,输入所需金额,然后点击”发送”按钮。转账成功,但披萨却一直没送来。披萨店老板说他们从来没有收到付款。这是怎么回事?别对披萨店的人生气了 – 这一切都是因为CryptoShuffler (又称”秘密洗牌者”)。
与加密恶意软件不同,这种木马避免了爆发性效应,而是尽可能不让人察觉。它会静悄悄地驻留在计算机的内存中,并监视剪贴板——即用于剪切/粘贴操作的临时存储区域。
一旦CryptoShuffler在剪贴板上发现加密钱包的地址(这些地址很容易根据行的长度和特定字符来进行区分),它会用另一个地址加以替换。结果,加密货币确实按付款人指定金额转账成功了,但是收款人不是披萨店,而是CryptoShuffler背后的入侵者。
卡巴斯基实验室对这种木马进行研究后发现,这款恶意软件不仅针对比特币,还针对以太坊、Zcash币、门罗币、达世币、狗狗币(是的,这是真的)等各种加密货币。替换比特币钱包是木马最有利可图的活动——在本文发布时,攻击者窃取的比特币已超过23个(依据当前汇率计算价格约为14万美元)。
另外发现的一个属于CryptoShuffler创建者的加密货币钱包中,包含的金额从数十到数千美元不等。
这种木马用了一年多的时间盗取到这笔钱。2016年年末这一活动达到高峰,随后大幅下降,但在2017年6月CryptoShuffler又卷土重来。
值得一提的是,被感染电脑或手机不一定会表现为速度变慢或显示赎金信息。相反,许多类型的恶意软件试图保持低调,尽可能隐蔽地运行;隐藏的时间越久,其创建者盗取的钱就越多。
所以我们给所有加密货币用户的建议是,请保持警惕并采取防御措施。我们的产品会将CryptoShuffler检测为Trojan-Banker.Win32.CryptoShuffler.gen,不用说,我们的产品能阻止其所有的操作。