您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
试用申请
请填写真实的企业信息,方便我们尽快了解您的企业安全需求。

*公司名称

*所在行业

*联系人

QQ

*联系电话

您的需求
私有云产品
云垒 立体式私有云安全纵深防御平台
云眼 新一代(云)主机入侵监测及安全管理系统
啸天 网络安全态势感知
云固 新一代网页防篡改系统
云御 新一代网站应用防御系统
公有云产品
云磐 立体式公有云安全纵深防御平台
安全云主机
高级服务
抗DDoS云服务
高级渗透测试服务
攻击取证与溯源分析服务
信息安全等级保护服务
重大活动安保服务
勒索病毒防护
区块链安全
其他需求
*验证码
{{message}}
试用申请
恶意软件 ComboJack 可监控 Windows 剪贴板,以替换加密货币钱包地址获利

外媒 3 月6 日消息,Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件,它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板,并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址,达到窃取加密货币的目的。

  ComboJack 攻击不仅支持多种加密货币(其中包括 比特币、莱特币、门罗币和以太坊),还可以针对其他数字支付系统,如 Qiwi、Yandex Money 和 WebMoney(美元和卢布支付)。

  目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发。攻击者在邮件中存放了一个被称为是护照扫描件的恶意 PDF 附件,当用户打开这个 PDF 时,附件中一个试图利用 DirectX 漏洞(CVE-2017-8579 )的 RTF 文件也将被打开。研究人员发现,该 RTF 文件引用了嵌 入式远程对象(一个包含编码 PowerShell 命令的 HTA 文件)。一旦从远程服务器获取到,该 HTA 文件会立即运行一系列 PowerShell 命令来下载并执行一个自解压文件(SFX)。这时感染过程还并未结束,只有该 SFX 文件下载并运行另一个受密码保护的 SFX 文件后,才能成功提取 ComboJack ,而为了实现持久性,ComboJack 还会设置一个注册表项。

combojack-2

  这些步骤完成后,ComboJack 将开始每半秒检查一次剪贴板的内容,以确定是否复制了不同数字货币的钱包信息。一旦成功捕获,ComboJack 将会使用硬编码数据来替换钱包地址,并试图将资金转移到目标钱包。

  研究人员分析指出,这种攻击策略依赖于钱包地址冗长而复杂,因为为了防止错误,大多数用户会选择复制字符串而不是手动输入。

  随着加密货币价格的持续上涨,未来可能会出现越来越多针对虚拟货币的恶意软件,因为它是目前非法获利较多、较为快捷便利的方式之一。