外媒 3 月 6 日消息, Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件, 它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板, 并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址, 达到窃取加密货币的目的
ComboJack 攻击不仅支持多种加密货币(其中包括 比特币莱特币门罗币和以太坊), 还可以针对其他数字支付系统, 如 QiwiYandex Money 和 webMoney(美元和卢布支付)
目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发攻击者在邮件中存放了一个被称为是护照扫描件的恶意 PDF 附件, 当用户打开这个 PDF 时, 附件中一个试图利用 DirectX 漏洞 (CVE-2017-8579 ) 的 RTF 文件也将被打开研究人员发现, 该 RTF 文件引用了嵌 入式远程对象 (一个包含编码 PowerShell 命令的 HTA 文件) 一旦从远程服务器获取到, 该 HTA 文件会立即运行一系列 PowerShell 命令来下载并执行一个自解压文件 (SFX) 这时感染过程还并未结束, 只有该 SFX 文件下载并运行另一个受密码保护的 SFX 文件后, 才能成功提取 ComboJack , 而为了实现持久性, ComboJack 还会设置一个注册表项
这些步骤完成后, ComboJack 将开始每半秒检查一次剪贴板的内容, 以确定是否复制了不同数字货币的钱包信息一旦成功捕获, ComboJack 将会使用硬编码数据来替换钱包地址, 并试图将资金转移到目标钱包
研究人员分析指出, 这种攻击策略依赖于钱包地址冗长而复杂, 因为为了防止错误, 大多数用户会选择复制字符串而不是手动输入
随着加密货币价格的持续上涨, 未来可能会出现越来越多针对虚拟货币的恶意软件, 因为它是目前非法获利较多较为快捷便利的方式之一
来源: http://jaq.alibaba.com/community/art/show?articleid=1535