恶意软件ComboJack监控Windows剪贴板替换加密货币钱包地址获利

2018-03-09 14:54 标签: 恶意软件,网络安全

  外媒3月6日消息,Palo Alto Networks的安全研究人员发现了一种名为ComboJack的恶意软件,它能够检测用户何时将加密货币地址复制到了Windows剪贴板,并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址,达到窃取加密货币的目的。

  Combo Jack攻击不仅支持多种加密货币(其中包括比特币、莱特币、门罗币和以太坊),还可以针对其他数字支付系统,如Qiwi、Yandex Money和WebMoney(美元和卢布支付)。

  目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发。攻击者在邮件中存放了一个被称为是护照扫描件的恶意PDF附件,当用户打开这个PDF时,附件中一个试图利用DirectX漏洞(CVE-2017-8579)的RTF文件也将被打开。研究人员发现,该RTF文件引用了嵌入式远程对象(一个包含编码Power Shell命令的HTA文件)。一旦从远程服务器获取到,该HTA文件会立即运行一系列PowerShell命令来下载并执行一个自解压文件(SFX)。这时感染过程还并未结束,只有该SFX文件下载并运行另一个受密码保护的SFX文件后,才能成功提取ComboJack,而为了实现持久性,Combo Jack还会设置一个注册表项。

恶意软件ComboJack监控Windows剪贴板替换加密货币钱包地址获利

  这些步骤完成后,Combo Jack将开始每半秒检查一次剪贴板的内容,以确定是否复制了不同数字货币的钱包信息。一旦成功捕获,Combo Jack将会使用硬编码数据来替换钱包地址,并试图将资金转移到目标钱包。

  研究人员分析指出,这种攻击策略依赖于钱包地址冗长而复杂,因为为了防止错误,大多数用户会选择复制字符串而不是手动输入。

  随着加密货币价格的持续上涨,未来可能会出现越来越多针对虚拟货币的恶意软件,因为它是目前非法获利较多、较为快捷便利的方式之一。

  消息来源:securityweek,HackerNews.cc,封面来源于网络;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us