加密黑客的「新宠」—剪贴板劫持最让我们细思极恐的是黑客的小型攻击形式——更改用户复制和粘贴的钱包地址。 黑客可以锁定计算机的剪贴板并在受害者即将汇款时修改钱包地址。通过将恶意软件注入到用户的计算机中,可以执行简单的切换,将转账时收件人的钱包地址替换为黑客自己的钱包地址,当加密货币汇款入黑客的地址后,因为区块链的特性,受害者根本无法取回。 网络安全公司 Threat Post 最近截获到了一个隐藏在常见自动运行文件中的远程控制木马,这个文件被可疑地命名为「AdobeColorCR_ExtraSettings_1_0-mul.zip」。 经过对该文件外壳的「抽丝剥茧」,最终技术人员得到了该恶意文件的核心代码,并发现了明确的远程访问木马 (RAT) 功能——与传统的木马一样(具有发送和接收数据以及执行命令的能力)。 这个恶意文件最有趣的地方来了,技术人员发现了名为「funcCret」和「sendClib」的特殊函数。这也就是前文提到的「剪贴板攻击」。funcCret 的功能包括加密货币钱包地址,并将自动检查受害者计算机的剪贴板数据,有没有存在任何的钱包地址。如果在剪贴板中找到了钱包地址(例如用户「复制」了一个地址来购买物品一样),「sendClib」函数会将黑客的恶意钱包地址替换剪贴板内容。而黑客的恶意钱包地址如下图所示:
我们可以先假设图片圈出的代码中的「bch」是指比特币现金(BCH),「etho」是指以太坊(ETH),但「Mizu」是什么呢?
使用这种「剪贴板劫持」技术的黑客目前已获利超过 200 万美元。 目前该恶意软件和攻击中使用的恶意钱包地址已被 Threat Post 公司报告给此比特币滥用数据库。 我们需要注意无论能否通过公共区块链追踪资金,事实仍然是黑客热衷于在恶意软件中使用加密货币,以合法的现实世界资产(比特币)来牟利。 虽然我们已经看到勒索软件猖獗,信息和数据在暗网上拍卖,远程挖矿木马偷偷使用我们的计算机资源用来挖掘加密货币,但这种剪贴板劫持技术也同样值得我们注意。如果我们不去认真查看 Windows 文件系统中的角落,不去检查那些可以自动运行的程序或应用,下一个受到伤害的可能就是我们。 (责任编辑:admin) |
