惡意軟體ComboJack正透過剪貼板盯著你的加密貨幣錢包

「用指尖改變世界」

Palo Alto Networks公司的 Unit 42威脅研究團隊最近發現了一種被命名為「ComboJack」的新型惡意軟體，能夠檢測目標受害者何時將加密貨幣錢包地址複製到了Windows剪貼板，並通過將這個地址替換為其開發者所持有的錢包地址來竊取資金。

在2017年6月份，由卡巴斯基實驗室發現的CryptoShuffler成為首個利用這種策略的惡意軟體，並在當時成功獲取到了至少價值15萬美元的比特幣(BitCoin)。ComboJack和CryptoShuffler最大的區別就在於ComboJack支持多種加密貨幣，而不僅僅是比特幣。

根據Unit 42的說法，ComboJack所針對的加密貨幣除了比特幣之外，還包括萊特幣(Litecoin)、門羅幣(Monero)和以太坊(Ethereum)。此外，它還針對了一些流行的數字支付系統，如Qiwi、Yandex.Money和WebMoney。

Unit 42表示，他們在上周一早些時候發現了這款惡意軟體，它出現在一起針對日本和美國計算機用戶發起的網路釣魚活動中。釣魚電子郵件以「遺失的護照」為主題，附件中包含了一個被稱為是護照掃描件的PDF文件。

與Dridex(銀行木馬)和Locky(勒索軟體)使用的技術類似，這個PDF文件包含一個嵌入式RTF文件，其中包含有嵌入式遠程對象(一個HTA文件)，該對象試圖利用DirectX漏洞(CVE-2017-8579 )。

在成功利用時，HTA文件會運行一系列PowerShell命令，下載並執行一個自解壓文件(SFX)。當然，整個感染鏈沒有在這裡結束。此SFX文件會在之後下載並運行另一個受密碼保護的SFX文件，最後才是最終有效載荷ComboJack的安裝。

在安裝完成後，ComboJack會進入一個無限循環的命令執行模式。它被配置為每0.5秒掃描一次Windows剪貼板，以確認受害者是否複製了錢包地址。一旦確認，它將用硬編碼的錢包地址取代這個地址，這樣就能夠讓受害者在未驗證錢包地址正確性的情況下將資金髮送到ComboJack開發者所持有的錢包地址。

也許，你會認為這種依賴於受害者在完成交易之前不會檢查錢包地址正確性的「偷竊」策略會顯得很「拙劣」。但事實上，很少會有人在進行加密貨幣交易時對錢包地址進行手動輸入，更別說對錢包地址進行逐個字元的驗證。

我們都知道，加密貨幣錢包地址往往是一長串數字和字元的組合。無論是手動輸入，還是逐個字元驗證都會十分麻煩，而複製、粘貼則成為了加密貨幣持有者在日常交易中最為普遍採用的方式。

這就是為什麼類似ComboJack或者CryptoShuffler這樣的惡意軟體只是簡單地利用剪貼板就能夠發起有效的攻擊。隨著加密貨幣的日益普及和價格上漲，我們有理由相信，此類惡意軟體必定會在未來表現為更具威脅性。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！