網絡安全公司Kaspersky發現新型惡意軟體
網絡安全公司Kaspersky發現了一種惡意軟體,它通過替換用戶剪貼簿中的可信錢包地址,誘使受害者將加密貨幣發送給攻擊者。
這種惡意軟體在SourceForge網站上以Microsoft Office附加組件的幌子進行分發。
實際上,其他鏈接被用來安裝這種惡意軟體並滲透加密貨幣錢包。根據Kaspersky研究人員在他們的SecureList博客上的一篇文章,這段代碼似乎是用俄語編寫的,預計有90%的潛在受害者位於俄羅斯。
然而,該鏈接確實導向一個用英語編寫的下載網站——這表明此事件可能擴展到俄羅斯以外的範圍。
一旦安裝,該惡意軟體會在設備上放置ClipBanker,這是一種將剪貼簿中的加密貨幣地址替換為攻擊者自己地址的惡意軟體。
由於大多數加密貨幣錢包用戶傾向於複製和粘貼地址,而不是手動輸入,地址替換通常不會被察覺,直到受害者的資金被發送到他們未打算的地方。
Kaspersky警告這可能造成更大的損害。
研究人員寫道:“持久性方法值得注意。攻擊者通過多種方法,包括非常規方法,確保對感染系統的訪問。雖然此次攻擊主要通過部署挖礦者和ClipBanker來針對加密貨幣,但攻擊者可能會將系統訪問權出售給更危險的行為者。”
值得注意的是,SourceForge是一個合法的軟體下載託管網站,而這種漏洞依賴於用戶被引導至另一個不安全的下載鏈接。
一個看似合法的鏈接重定向到一個頁面,鼓勵用戶下載受感染的軟體。
該下載似乎是一個合法的700MB安裝程序,但大部分都是垃圾文件。實際的惡意軟體只有7MB。
根據報告,僅在1月初至3月底之間,就有4604名俄羅斯用戶遭遇了這一計劃。
Kaspersky警告:“我們建議用戶不要從不可信的來源下載軟體。如果您因某種原因無法從官方來源獲取某些軟體,請記住,尋找替代下載選項始終伴隨著更高的安全風險。”
編輯:Stacy Elliott。