背景介绍

网络犯罪分子千方百计地寻求非法行为来获取比特币。从黑交易平台到勒索软件,以及加密货币的劫持攻击,黑客们采用了多种复杂的手段来窃取加密货币。自2017年以来,加密货币技术已经逐渐变得更加有价值。少量的代币能以法定货币标价出售,且价格不菲。

尽管加密货币在世界各地的普及程度不断提高,但其大部分技术自2009年出现以来就一直保持不变。众所周知,比特币或其它数字货币的钱包地址都是随机数,用户不可能记住,因此都是通过拷贝粘贴的方式进行交易。但是,报告显示,黑客目前正在利用用户的这一习惯实施比特币窃取活动。

加密货币恶意软件“剪贴板劫持者”出现

攻击者知道,许多比特币用户在发送和接收比特币时选择复制和粘贴比特币地址。所以,他们创造了一个计算机恶意软件–密码的“剪贴板劫持者”。通常,这个恶意软件会同时监控40万和60万个地址。然而,Bleeping Computer最近发现了一个“剪贴板劫持者”,它正在监视超过230万个比特币地址。

据悉,这款恶意软件被称为“虚拟货币剪贴板劫持者(CryptoCurrency Clipboard Hijacker)”,其能够监视windows剪贴板中的加密货币地址,一旦恶意软件识别出一个比特币地址,就能够将用户剪贴板中的地址替换为攻击者的地址,用户在不知不觉中可能就向攻击者发送了他们的比特币。

事实上,这已经不是研究人员发现的第一款使用剪贴板窃取加密货币钱包的恶意软件了。早在2017年6月份,由卡巴斯基实验室发现的“CryptoShuffler”成为了首个利用这种策略的恶意软件,并在当时成功获取到了至少价值15万美元的比特币。

今年3月,Palo Alto Networks公司的 Unit 42威胁研究团队又发现了一种被命名为“ComboJack”的新型恶意软件,其能够检测目标受害者何时将加密货币钱包地址复制到了Windows剪贴板,并通过将这个地址替换为其开发者所持有的钱包地址来窃取资金。

到了今年6月,奇虎 360公司再次报告了一个名为“ClipboardWalletHijacker”的劫持剪切板的恶意程序,感染了超过30万台计算机设备,其中,大多数受害者位于亚洲,主要是中国。

那么,Bleeping Computer的研究人员最新发现的这一加密货币“剪贴板劫持者”恶意软件又具备哪些独特的性质呢?

研究人员表示,先前发现的此类恶意软件会同时监控40万-60万个加密货币地址。但是,此次发现的“剪贴板劫持者”样本却正在监视超过230万个比特币地址,其在监视能力方面取得了大幅进步。

CryptoCurrency-Clipboard-Hijackers-sample.jpg

此外,该地址交换病毒是All-Radio 4.27便携式恶意软件包的一部分。如果用户在不知情的情况下安装了此感染程序,则会将恶意的DLL添加到用户的注册表中,这个恶意的DLL–d3dx11_31.DLL会创建一个名为“DirectX 11”的自动运行程序来运行库,并在后台执行交换过程。

all-radio-4_27-portable.jpg缓解措施

像往常一样,我建议用户使用最新的防病毒解决方案,以检测并消除此类威胁。因为“密码剪贴板劫持者”在后台运行,所以它的存在对用户来说可能不是很明显,但防病毒软件能够检测出它的存在。

除此之外,防止此类攻击最有效的方法,就是仔细检查粘贴的地址。在单击“发送”按钮之前始终对地址执行检查,查看地址信息是否匹配,避免仓促行事,犯了灾难性的错误。

*参考来源:securityaffairs