Author

Topic: 木馬程式 Evrial 透過修改剪貼簿內容竊取比特幣 (Read 58 times)

member
Activity: 168
Merit: 12
加密貨幣用戶傳送資金時必須小心了,最近出現一種新型木馬程式,可以修改剪貼簿中的內容。當交易者複製錢包地址時,木馬將會竄改內容,若是貼上地址之後沒有檢查,用戶的加密貨幣可能就落入駭客的錢包中了。

比特幣用戶並不是第一次、也不會是最後一次遇到木馬程式,這些惡意軟體在加密貨幣領域已存在許多年了。惱人的是,每次出現的新木馬總會增加一些不同的功能,就如同最近出現的 Evrial。

最早發現 Evrial 的是網路安全團隊 MalwareHunterTeam 以及 Guido Not CISSP,這個木馬可以監控 Windows 剪貼簿中的字串,透過修改錢包地址或網址,讓駭客可以輕易攔截加密貨幣或 Steam 的交易。

根據 MalwareHunterTeam 的說法,Evrial 正在俄羅斯的犯罪論壇上以 1,500 盧布 (約 27 美元) 的價格出售。賣家在廣告詳述了用法:

當攻擊者購買之後會得到一個網頁連結,並得以下載一個用來散布的執行檔。當受害者執行這個檔案,Evrial 就被寫入開機啟動的名單當中,每當電腦開機便開始監控瀏覽器及剪貼簿。
當 Evrial 偵測到剪貼簿被修改了,並且內容為它所支援的格式,這個木馬就會將內容替換成攻擊者設定的字串。
即便剪貼簿沒有修改,Evrial 也會將受害者的桌面截圖、桌面檔案、網站密碼及 cookie 打包成.zip 檔案並回傳。
其中支援的格式包括比特幣、以太幣、萊特幣、門羅幣等加密貨幣地址以及 Steam 交易連結網址。

可被打包的桌面檔案格式則是.doc、.txt 以及 log 檔。可被盜取密碼及 cookie 的瀏覽器包括 Chromium、Google Chrome、Opera、Kometa、Amigo、Orbitum 等。

除了修改錢包地址及盜取密碼,Evrial 更可以查詢登錄機碼 (registry key) 來確定比特幣的 wallet.dat 檔案位置,如果有密鑰,它可以直接竊取錢包。

然而,目前還不確定 Evrial 的散布方式,最安全的作法的保持良好的電腦使用習慣。例如不要執行陌生郵件的附加檔案,或在不知名網站上隨意點選連結,同時要將防毒軟體更新到最新版本。
Jump to: