警惕:網(wǎng)絡(luò)犯罪分子利用Jaxx錢包用戶進(jìn)行網(wǎng)絡(luò)釣魚區(qū)塊鏈
至少一個(gè)星期,Jaxx加密貨幣錢包網(wǎng)站有一個(gè)欺詐版本,提供惡意鏈接誘騙用戶泄露保護(hù)虛擬資金的備份短語(yǔ)。
雖然網(wǎng)絡(luò)釣魚仍然是基于惡意軟件基于電子郵件的攻擊中的普遍威脅,但網(wǎng)絡(luò)犯罪分子通過(guò)添加模擬組件方法來(lái)提高其成功率。
Jaxx由加拿大區(qū)塊鏈創(chuàng)業(yè)公司Decentral所有,是一種流行的加密貨幣錢包,在桌面和移動(dòng)平臺(tái)上的下載量超過(guò)120萬(wàn)。它支持多種類型的硬幣,包括比特幣和以太坊。
區(qū)塊鏈安全咨詢公司 曲速未來(lái) 消息:至少一個(gè)星期,Jaxx加密貨幣錢包網(wǎng)站有一個(gè)欺詐版本,提供惡意鏈接誘騙用戶泄露保護(hù)虛擬資金的備份短語(yǔ)。
該網(wǎng)站位于jaxx[.]ws,正在使用Cloudflare的內(nèi)容分發(fā)網(wǎng)絡(luò),可能會(huì)使其托管服務(wù)提供商難以發(fā)現(xiàn)。
有安全研究人員在被網(wǎng)絡(luò)犯罪活動(dòng)引起的一系列感染提醒后,于8月30日發(fā)現(xiàn)了這一問(wèn)題。但是,該活動(dòng)可能已于8月19日開(kāi)始,這是攻擊者域名的創(chuàng)建日期。
攻擊者希望進(jìn)行隱身手術(shù)
除了注冊(cè)可能容易與合法的Jaxx網(wǎng)站,jaxx [.] io以及使用Cloudflare混淆的域名外,攻擊者還會(huì)逐行復(fù)制原始版本。
在一份報(bào)告中有解釋說(shuō),對(duì)于Jaxx網(wǎng)站的欺騙變種的訪問(wèn)者幾乎沒(méi)有懷疑這個(gè)詭計(jì)“因?yàn)楣粽咴趯⑹芎τ?jì)算機(jī)安裝合法錢包軟件時(shí)遇到了麻煩”。
但與此同時(shí),Java存檔(JAR)和.NET應(yīng)用程序形式的macOS或Windows惡意軟件在后臺(tái)默默安裝。如果有人要求提供錢包的移動(dòng)版本,他們就會(huì)收到合法文件。
聯(lián)系
有惡意軟件研究員講過(guò),Windows惡意軟件可以將文件泄露到命令和控制(C2)服務(wù)器,以及下載KPOT Stealer和Clipper,這兩個(gè)惡意軟件在俄羅斯地下論壇上銷售。
Clipper的目的是監(jiān)控?cái)?shù)字錢包地址的剪貼板,并用攻擊者控制的其他人替換它們。KPOT竊取器從本地驅(qū)動(dòng)器吸取信息。
macOS JAR文件也指向俄羅斯的犯罪者,因?yàn)樗鞘褂枚碚Z(yǔ)IDE(集成開(kāi)發(fā)環(huán)境)DevelNext編譯的。
竊取錢包解密短語(yǔ)
當(dāng)用戶運(yùn)行JAR文件時(shí),就會(huì)看到一條消息,通知無(wú)法創(chuàng)建新錢包的技術(shù)問(wèn)題。
接下來(lái),他們被引導(dǎo)到一個(gè)請(qǐng)求Jaxx錢包備份短語(yǔ)的應(yīng)用程序屏幕。這實(shí)際上是解密錢包以訪問(wèn)數(shù)字資金的密碼。
“備份短語(yǔ)然后被泄露給攻擊者的網(wǎng)絡(luò)服務(wù)器,而受害者收到另一個(gè)混合的俄語(yǔ)和英語(yǔ)錯(cuò)誤消息,指出”服務(wù)器不可用。請(qǐng)?jiān)?小時(shí)內(nèi)再試一次。
啟動(dòng).NET應(yīng)用程序的Windows用戶從Google Docs位置獲取一個(gè)聲稱是Jaxx錢包測(cè)試版的文件。
安裝后,惡意軟件會(huì)將所有本地TXT,DOC和XLS文件發(fā)送到C2服務(wù)器,最有可能是攻擊者搜索加密貨幣錢包地址。
該操作的下一個(gè)階段是下載合法的Jaxx軟件,KPOT竊取程序和Clipper惡意軟件。
Cloudflare暫停了對(duì)欺騙網(wǎng)站的服務(wù),Jaxx支持迅速采取行動(dòng)對(duì)付虛假網(wǎng)站,以保護(hù)其客戶群。
區(qū)塊鏈安全咨詢公司 曲速未來(lái) 表示:在與BleepingComputer的對(duì)話中,Burbage想要指出這是針對(duì)Jaxx錢包用戶的社交工程活動(dòng),沒(méi)有任何跡象表明Jaxx軟件或其系統(tǒng)中存在漏洞或安全漏洞。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
