惡意軟件發(fā)行商已經(jīng)建立了一個偽裝成合法CryptoHopper加密貨幣交易平臺的站點，以便分發(fā)惡意軟件的有效負載，例如信息竊取木馬、惡意礦工和剪貼版劫持工具。

新攻擊活動
在惡意軟件研究人員Fumik0_發(fā)現(xiàn)的新攻擊活動中，威脅行為者創(chuàng)建了一個偽裝成CryptoHopper交易平臺的虛假站點，在用戶訪問時將自動下載Setup.exe執(zhí)行程序，可如下所示：

其中這個Setup.exe可執(zhí)行文件同樣使用了CryptoHopper的圖標(biāo)，使它看起來像是來自該交易平臺的合法下載，但實際上這是一個Vidar信息竊取木馬。

執(zhí)行該文件時，Vidar木馬將下載所需的庫，然后安裝另外兩個Qulab特洛伊木馬：一個充當(dāng)惡意礦工，另一個充當(dāng)剪貼板劫持工具。

為了保持持久性，該惡意軟件將創(chuàng)建計劃任務(wù)，每1分鐘都會自動啟動剪貼板劫持工具和惡意礦工可執(zhí)行文件。

信息竊取工具
下載文件并配置持久性后，Vidar木馬將從受感染設(shè)備中收集大量數(shù)據(jù)，并在%ProgramData%文件夾中的隨機命名目錄下進行編譯，如下圖所示：

具體來說，F(xiàn)umik0_解釋了Vidar將嘗試竊取以下信息：
瀏覽器cookie；
瀏覽器歷史記錄；
瀏覽器支付信息；
保存的登錄憑據(jù)；
加密貨幣錢包；
文本文件；
瀏覽器窗口自動填充信息；
Authy 2FA認證器數(shù)據(jù)庫
感染時的桌面截圖，等等。

隨后，這些信息將被上載到遠程服務(wù)器，以便攻擊者收集。成功上載信息后，該文件夾將自動從受感染設(shè)備中移除，只留下一些空文件夾。
由于CryptoHopper是一個加密貨幣交易平臺，如果其中一個用戶錯誤地訪問了這個虛假站點并安裝了該特洛伊木馬，他們的CryptoHopper登陸憑據(jù)可能被竊取并被非法用于竊取存儲在該平臺上的加密貨幣。

竊取加密貨幣
Vidar還將下載并安裝QuLab特洛伊木馬，該木馬將在受感染的設(shè)備上執(zhí)行剪貼板劫持功能。

由于加密貨幣地址冗長且難記，人們通常將地址復(fù)制到Windows剪貼板中，然后再將它們粘貼到另一個應(yīng)用程序中。當(dāng)Qulab檢測到加密貨幣地址被復(fù)制到剪貼板時，它會將復(fù)制的地址替換為受其控制的地址，以竊取加密貨幣。

ice

收藏 海報分享