代號為Fumik0_的惡意程式研究人員最近發現了山寨版的加密貨幣交易平台Cryptohopper,不小心造訪了假冒的Cryptohopper就會被植入惡意程式,隨後駭客就能竊取受害者電腦上的瀏覽器cookies、歷史紀錄、付款資訊、登入憑證、加密貨幣錢包、瀏覽器的自動填入資訊,或是雙因素認證資料庫。

Cryptohopper主要提供自動化的加密貨幣交易服務,然而Fumik0_近日卻發現了它的山寨版,除了網址不同之外,所使用的商標及排版都與Cryptohopper的官方網站一致,而一但不小心連至山寨版,它就會自動下載一個執行檔,執行的當下依然使用Cryptohopper的商標,但它實際上卻是支Vidar木馬。

去年10月現身的Vidar是以C++撰寫,在黑市的價格為250美元到700美元之間,買家還可存取命令暨控制(C2)商店以產生自己的惡意程式碼。Vidar的功能包括搜尋特定文件、竊取瀏覽器cookie中的ID、竊取瀏覽器歷史紀錄、竊取加密貨幣錢包、自雙因素認證軟體中竊取資料、竊取傳訊軟體中的訊息,還可取得螢幕截圖。

Fumik0_向BleepingComputer說明,當造訪山寨版Cryptohopper的受害者執行了Vidar之後,它會安裝兩個Qulab木馬,一個為採礦工具,另一個則可用來挾持剪貼簿。

由於Vidar的能力非常強大,而且此一攻擊鎖定的是加密貨幣交易平台的用戶,判斷駭客的企圖在於竊取Cryptohopper憑證,以盜走受害者存放在Cryptohopper的加密貨幣。

BleepingComputer建議使用者應特別留意所造訪網站的網址是否正確,在執行任何自網路上下載的檔案時最好先經防毒軟體的掃描。


Advertisement

更多 iThome相關內容