惡意軟件發(fā)行商已經(jīng)建立了一個(gè)偽裝成合法CryptoHopper加密貨幣交易平臺(tái)的站點(diǎn)，以便分發(fā)惡意軟件的有效負(fù)載，例如信息竊取木馬、惡意礦工和剪貼版劫持工具。

新攻擊活動(dòng)
在惡意軟件研究人員Fumik0_發(fā)現(xiàn)的新攻擊活動(dòng)中，威脅行為者創(chuàng)建了一個(gè)偽裝成CryptoHopper交易平臺(tái)的虛假站點(diǎn)，在用戶訪問(wèn)時(shí)將自動(dòng)下載Setup.exe執(zhí)行程序，可如下所示：

其中這個(gè)Setup.exe可執(zhí)行文件同樣使用了CryptoHopper的圖標(biāo)，使它看起來(lái)像是來(lái)自該交易平臺(tái)的合法下載，但實(shí)際上這是一個(gè)Vidar信息竊取木馬。

執(zhí)行該文件時(shí)，Vidar木馬將下載所需的庫(kù)，然后安裝另外兩個(gè)Qulab特洛伊木馬：一個(gè)充當(dāng)惡意礦工，另一個(gè)充當(dāng)剪貼板劫持工具。

為了保持持久性，該惡意軟件將創(chuàng)建計(jì)劃任務(wù)，每1分鐘都會(huì)自動(dòng)啟動(dòng)剪貼板劫持工具和惡意礦工可執(zhí)行文件。

信息竊取工具
下載文件并配置持久性后，Vidar木馬將從受感染設(shè)備中收集大量數(shù)據(jù)，并在%ProgramData%文件夾中的隨機(jī)命名目錄下進(jìn)行編譯，如下圖所示：

具體來(lái)說(shuō)，F(xiàn)umik0_解釋了Vidar將嘗試竊取以下信息：
瀏覽器cookie；
瀏覽器歷史記錄；
瀏覽器支付信息；
保存的登錄憑據(jù)；
加密貨幣錢包；
文本文件；
瀏覽器窗口自動(dòng)填充信息；
Authy 2FA認(rèn)證器數(shù)據(jù)庫(kù)
感染時(shí)的桌面截圖，等等。

隨后，這些信息將被上載到遠(yuǎn)程服務(wù)器，以便攻擊者收集。成功上載信息后，該文件夾將自動(dòng)從受感染設(shè)備中移除，只留下一些空文件夾。
由于CryptoHopper是一個(gè)加密貨幣交易平臺(tái)，如果其中一個(gè)用戶錯(cuò)誤地訪問(wèn)了這個(gè)虛假站點(diǎn)并安裝了該特洛伊木馬，他們的CryptoHopper登陸憑據(jù)可能被竊取并被非法用于竊取存儲(chǔ)在該平臺(tái)上的加密貨幣。

竊取加密貨幣
Vidar還將下載并安裝QuLab特洛伊木馬，該木馬將在受感染的設(shè)備上執(zhí)行剪貼板劫持功能。

由于加密貨幣地址冗長(zhǎng)且難記，人們通常將地址復(fù)制到Windows剪貼板中，然后再將它們粘貼到另一個(gè)應(yīng)用程序中。當(dāng)Qulab檢測(cè)到加密貨幣地址被復(fù)制到剪貼板時(shí)，它會(huì)將復(fù)制的地址替換為受其控制的地址，以竊取加密貨幣。

ice

收藏 海報(bào)分享