信息來源：mottoin

惡意軟件發(fā)行商已經(jīng)建立了一個偽裝成合法CryptoHopper加密貨幣交易平臺的站點，以便分發(fā)惡意軟件的有效負載，例如信息竊取木馬、惡意礦工和剪貼版劫持工具。

CryptoHopper是一個加密交易平臺，用戶可以構建用于在各種市場上自動交易加密貨幣的模型。

新攻擊活動

在惡意軟件研究人員Fumik0_發(fā)現(xiàn)的新攻擊活動中，威脅行為者創(chuàng)建了一個偽裝成CryptoHopper交易平臺的虛假站點，在用戶訪問時將自動下載Setup.exe執(zhí)行程序，可如下所示：

虛假的Cryptohopper站點

其中這個Setup.exe可執(zhí)行文件同樣使用了CryptoHopper的圖標，使它看起來像是來自該交易平臺的合法下載，但實際上這是一個Vidar信息竊取木馬。

執(zhí)行該文件時，Vidar木馬將下載所需的庫，然后安裝另外兩個Qulab特洛伊木馬：一個充當惡意礦工，另一個充當剪貼板劫持工具。

Vidar木馬下載的文件

QuLab相關文件將被下載到以下文件夾中：

惡意軟件文件夾

為了保持持久性，該惡意軟件將創(chuàng)建計劃任務，每1分鐘都會自動啟動剪貼板劫持工具和惡意礦工可執(zhí)行文件。

保持持久性的計劃任務

信息竊取工具

下載文件并配置持久性后，Vidar木馬將從受感染設備中收集大量數(shù)據(jù)，并在%ProgramData%文件夾中的隨機命名目錄下進行編譯，如下圖所示：

Vidar竊取的數(shù)據(jù)集合

具體來說，F(xiàn)umik0_解釋了Vidar將嘗試竊取以下信息：

• 瀏覽器cookie；
• 瀏覽器歷史記錄；
• 瀏覽器支付信息；
• 保存的登錄憑據(jù)；
• 加密貨幣錢包；
• 文本文件；
• 瀏覽器窗口自動填充信息；
• Authy 2FA認證器數(shù)據(jù)庫
• 感染時的桌面截圖，等等。

隨后，這些信息將被上載到遠程服務器，以便攻擊者收集。成功上載信息后，該文件夾將自動從受感染設備中移除，只留下一些空文件夾。

由于CryptoHopper是一個加密貨幣交易平臺，如果其中一個用戶錯誤地訪問了這個虛假站點并安裝了該特洛伊木馬，他們的CryptoHopper登陸憑據(jù)可能被竊取并被非法用于竊取存儲在該平臺上的加密貨幣。

竊取加密貨幣

Vidar還將下載并安裝QuLab特洛伊木馬，該木馬將在受感染的設備上執(zhí)行剪貼板劫持功能。

由于加密貨幣地址冗長且難記，人們通常將地址復制到Windows剪貼板中，然后再將它們粘貼到另一個應用程序中。當Qulab檢測到加密貨幣地址被復制到剪貼板時，它會將復制的地址替換為受其控制的地址，以竊取加密貨幣。

剪貼板劫持工具選擇替代的加密貨幣地址如下表所示：

虛假站點攻擊越發(fā)常見

通過創(chuàng)建模仿合法服務商的虛假站點來推廣惡意軟件，這一現(xiàn)象已經(jīng)變得越來越普遍。例如，在今年5月份有研究人員發(fā)現(xiàn)，有攻擊者創(chuàng)建了一個虛假站點來推廣名為Pirate Chick的假VPN軟件，實際上該軟件用于分發(fā)AZORult密碼竊取特洛伊木馬。

Pirate Chick站點

另一個案例是攻擊者創(chuàng)建一個虛假站點來推廣名為G-Cleaner的假Windows系統(tǒng)清理工具，實際上這也是信息竊取特洛伊木馬。

G-Cleaner站點

為了更好的保護自己，用戶應該確保他們正在訪問的站點是合法URL。此外，如果這些網(wǎng)站提供任何下載文件，首先應掃描以驗證其安全性，之后再進行安裝。