信息來(lái)源:mottoin
惡意軟件發(fā)行商已經(jīng)建立了一個(gè)偽裝成合法CryptoHopper加密貨幣交易平臺(tái)的站點(diǎn),以便分發(fā)惡意軟件的有效負(fù)載,例如信息竊取木馬、惡意礦工和剪貼版劫持工具。
CryptoHopper是一個(gè)加密交易平臺(tái),用戶可以構(gòu)建用于在各種市場(chǎng)上自動(dòng)交易加密貨幣的模型。
新攻擊活動(dòng)
在惡意軟件研究人員Fumik0_發(fā)現(xiàn)的新攻擊活動(dòng)中,威脅行為者創(chuàng)建了一個(gè)偽裝成CryptoHopper交易平臺(tái)的虛假站點(diǎn),在用戶訪問(wèn)時(shí)將自動(dòng)下載Setup.exe執(zhí)行程序,可如下所示:
虛假的Cryptohopper站點(diǎn)
其中這個(gè)Setup.exe可執(zhí)行文件同樣使用了CryptoHopper的圖標(biāo),使它看起來(lái)像是來(lái)自該交易平臺(tái)的合法下載,但實(shí)際上這是一個(gè)Vidar信息竊取木馬。
執(zhí)行該文件時(shí),Vidar木馬將下載所需的庫(kù),然后安裝另外兩個(gè)Qulab特洛伊木馬:一個(gè)充當(dāng)惡意礦工,另一個(gè)充當(dāng)剪貼板劫持工具。
Vidar木馬下載的文件
QuLab相關(guān)文件將被下載到以下文件夾中:
惡意軟件文件夾
為了保持持久性,該惡意軟件將創(chuàng)建計(jì)劃任務(wù),每1分鐘都會(huì)自動(dòng)啟動(dòng)剪貼板劫持工具和惡意礦工可執(zhí)行文件。
保持持久性的計(jì)劃任務(wù)
信息竊取工具
下載文件并配置持久性后,Vidar木馬將從受感染設(shè)備中收集大量數(shù)據(jù),并在%ProgramData%文件夾中的隨機(jī)命名目錄下進(jìn)行編譯,如下圖所示:
Vidar竊取的數(shù)據(jù)集合
具體來(lái)說(shuō),F(xiàn)umik0_解釋了Vidar將嘗試竊取以下信息:
-
瀏覽器cookie;
-
瀏覽器歷史記錄;
-
瀏覽器支付信息;
-
保存的登錄憑據(jù);
-
加密貨幣錢(qián)包;
-
文本文件;
-
瀏覽器窗口自動(dòng)填充信息;
-
Authy 2FA認(rèn)證器數(shù)據(jù)庫(kù)
-
感染時(shí)的桌面截圖,等等。
隨后,這些信息將被上載到遠(yuǎn)程服務(wù)器,以便攻擊者收集。成功上載信息后,該文件夾將自動(dòng)從受感染設(shè)備中移除,只留下一些空文件夾。
由于CryptoHopper是一個(gè)加密貨幣交易平臺(tái),如果其中一個(gè)用戶錯(cuò)誤地訪問(wèn)了這個(gè)虛假站點(diǎn)并安裝了該特洛伊木馬,他們的CryptoHopper登陸憑據(jù)可能被竊取并被非法用于竊取存儲(chǔ)在該平臺(tái)上的加密貨幣。
竊取加密貨幣
Vidar還將下載并安裝QuLab特洛伊木馬,該木馬將在受感染的設(shè)備上執(zhí)行剪貼板劫持功能。
由于加密貨幣地址冗長(zhǎng)且難記,人們通常將地址復(fù)制到Windows剪貼板中,然后再將它們粘貼到另一個(gè)應(yīng)用程序中。當(dāng)Qulab檢測(cè)到加密貨幣地址被復(fù)制到剪貼板時(shí),它會(huì)將復(fù)制的地址替換為受其控制的地址,以竊取加密貨幣。
剪貼板劫持工具選擇替代的加密貨幣地址如下表所示:
虛假站點(diǎn)攻擊越發(fā)常見(jiàn)
通過(guò)創(chuàng)建模仿合法服務(wù)商的虛假站點(diǎn)來(lái)推廣惡意軟件,這一現(xiàn)象已經(jīng)變得越來(lái)越普遍。例如,在今年5月份有研究人員發(fā)現(xiàn),有攻擊者創(chuàng)建了一個(gè)虛假站點(diǎn)來(lái)推廣名為Pirate Chick的假VPN軟件,實(shí)際上該軟件用于分發(fā)AZORult密碼竊取特洛伊木馬。
Pirate Chick站點(diǎn)
另一個(gè)案例是攻擊者創(chuàng)建一個(gè)虛假站點(diǎn)來(lái)推廣名為G-Cleaner的假Windows系統(tǒng)清理工具,實(shí)際上這也是信息竊取特洛伊木馬。
G-Cleaner站點(diǎn)
為了更好的保護(hù)自己,用戶應(yīng)該確保他們正在訪問(wèn)的站點(diǎn)是合法URL。此外,如果這些網(wǎng)站提供任何下載文件,首先應(yīng)掃描以驗(yàn)證其安全性,之后再進(jìn)行安裝。