駭客利用Telegram頻道散布惡意軟體HackBoss，來洗劫受害人加密貨幣錢包

隨著加密貨幣的流行，駭客也透過提供駭客工具與破解工具的名義，做為散布惡意軟體的幌子，並透過即時通訊軟體Telegram聊天室當作主要管道。防毒業者Avast公布惡意軟體家族HackBoss，駭客利用這種工具至少偷到相當於56萬美元的加密貨幣。

為何這款惡意軟體被稱為HackBoss？原因是來自散布者所建立的Telegram頻道名稱「Hack Boss」。該頻道宣稱「提供最好的駭客軟體」，包含攻擊銀行、約會、比特幣等層面的工具，像是銀行或社群網站的破解器、加密貨幣錢包私鑰破解器，以及禮物卡產生器等。但Avast指出，Hack Boss頻道上張貼的工具全部是假的，它們都是用來從受害者電腦竊取加密貨幣的惡意軟體。

而這個Telegram頻道已經存在超過2年，且有不少訂閱者。Avast表示，該頻道自2018年11月26日創立，每個月平均會有7篇文章，且每篇文章都有約1千人次瀏覽。該頻道擁有近3千名訂閱者。

在每則推銷假破解工具或駭客應用程式的文章中，不只有檔案下載網址，還有散布者對於工具用途的說明與執行畫面截圖等，部分文章還會嵌入名為Bank God的YouTube頻道所提供的推廣影片。

一旦用戶將這些假應用程式下載到電腦執行，能看到軟體介面上存在許多按鈕，只要用戶點選其中的一個按鈕，該軟體的相關惡意功能就會隨之啟動，並將惡意酬載解密到AppData\Local或AppData\Roaming資料夾執行。為了能持續在受害電腦運作，Hack Boss也會透過竄改Windows登錄檔機碼，或是工作排程的方式，來重複執行。

究竟惡意酬載的危害為何？Avast指出，它會檢查剪貼簿的內容，是否存在加密錢包位址，一旦發現是加密錢包位址的格式，這個惡意酬載就會將位址調包，換成駭客所有的錢包位址。而且，就算是受害者察覺剪貼簿遭到監控，關閉上述的假工具，或是將惡意處理程序終止，都無法完全阻止其運作，因為有了前述的登錄檔機碼，這個惡意程式在幾分鐘內就會再度啟動。