窃取加密货币的恶意软件攻击感染近3万人

admin 2024年10月21日16:24:50评论19 views字数 1225阅读4分5秒阅读模式

窃取加密货币的恶意软件攻击感染近3万人

目前,来自俄罗斯、土耳其、乌克兰和欧亚地区其他国家的超过 28,000 人正受到大规模加密货币窃取恶意软件活动的影响。

该恶意软件活动将自己伪装成通过 YouTube 视频和欺诈性 GitHub 存储库推广的合法软件,受害者在其中下载受密码保护的档案,从而引发感染。

据网络安全公司 Dr. Web 称,该活动使用盗版办公相关软件、游戏作弊和黑客行为,甚至自动交易机器人来欺骗用户下载恶意文件。

据悉,这次恶意软件活动总共影响了 28,000 多人,其中绝大多数是俄罗斯居民。另外。白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也发现了大量感染病例。

窃取加密货币的恶意软件攻击感染近3万人

宣传 Microsoft Excel 本地化(俄语)下载的恶意网站

窃取加密货币的恶意软件攻击感染近3万人
感染链

感染首先打开一个自解压存档,该存档在下载时会逃避防病毒扫描,因为它受密码保护。受害者输入提供的密码后,存档会释放各种混淆的脚本、DLL 文件和用于启动主有效负载的数字签名加载程序的 AutoIT 解释器。

该恶意软件会检查调试工具是否存在,以查看它是否在分析人员的环境中运行,如果发现任何工具,则会终止。

接下来,它提取攻击后续阶段所需的文件,然后使用图像文件执行选项 (IFEO) 技术修改 Windows 注册表以实现持久性。

简而言之,它利用恶意服务劫持合法的 Windows 系统服务以及 Chrome 和 Edge 的更新进程,因此恶意软件文件会在这些进程启动时执行。

Windows 恢复服务被禁用,并且恶意软件文件和文件夹的“删除”和“修改”权限被撤销,以防止尝试清理。

从那时起,Ncat 网络实用程序用于与命令和控制 (C2) 服务器建立通信。该恶意软件还可以收集系统信息,包括运行的安全进程,并通过 Telegram 机器人窃取这些信息。

窃取加密货币的恶意软件攻击感染近3万人

完整的攻击链

窃取加密货币的恶意软件攻击感染近3万人
财务影响

该活动将两个关键有效负载传送到受害者的机器上。第一个是“Deviceld.dll”,这是一个经过修改的 .NET 库,用于执行 SilentCryptoMiner,它使用受害者的计算资源来挖掘加密货币。

第二个有效负载是“7zxa.dll”,这是一个经过修改的 7-Zip 库,充当剪辑器,监视 Windows 剪贴板中复制的钱包地址,并将其替换为攻击者控制下的地址。

Dr. Web 没有在报告中具体说明 28,000 台受感染机器的潜在挖矿利润,但发现仅 Clipper 就劫持了价值 6,000 美元的交易,并将金额转移到攻击者的地址上。

为避免意外的经济损失,请用户仅从该项目的官方网站下载软件,并阻止或跳过 Google 搜索上的推广结果。此外,请小心 YouTube 或 GitHub 上的共享链接,因为这些平台的合法性并不能保证下载目的地的安全。

参考及来源:https://www.bleepingcomputer.com/news/cryptocurrency/crypto-stealing-malware-campaign-infects-28-000-people/

窃取加密货币的恶意软件攻击感染近3万人

窃取加密货币的恶意软件攻击感染近3万人

原文始发于微信公众号(嘶吼专业版):窃取加密货币的恶意软件攻击感染近3万人

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月21日16:24:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   窃取加密货币的恶意软件攻击感染近3万人https://cn-sec.com/archives/3295618.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息