恶意软件 ComboJack 可监控 Windows 剪贴板，以替换加密货币钱包地址获利

外媒 3 月6 日消息，Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件，它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板，并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址，达到窃取加密货币的目的。

  ComboJack 攻击不仅支持多种加密货币（其中包括 比特币、莱特币、门罗币和以太坊），还可以针对其他数字支付系统，如 Qiwi、Yandex Money 和 WebMoney（美元和卢布支付）。

  目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发。攻击者在邮件中存放了一个被称为是护照扫描件的恶意 PDF 附件，当用户打开这个 PDF 时，附件中一个试图利用 DirectX 漏洞（CVE-2017-8579 ）的 RTF 文件也将被打开。研究人员发现，该 RTF 文件引用了嵌 入式远程对象（一个包含编码 PowerShell 命令的 HTA 文件）。一旦从远程服务器获取到，该 HTA 文件会立即运行一系列 PowerShell 命令来下载并执行一个自解压文件（SFX）。这时感染过程还并未结束，只有该 SFX 文件下载并运行另一个受密码保护的 SFX 文件后，才能成功提取 ComboJack ，而为了实现持久性，ComboJack 还会设置一个注册表项。

  这些步骤完成后，ComboJack 将开始每半秒检查一次剪贴板的内容，以确定是否复制了不同数字货币的钱包信息。一旦成功捕获，ComboJack 将会使用硬编码数据来替换钱包地址，并试图将资金转移到目标钱包。

  研究人员分析指出，这种攻击策略依赖于钱包地址冗长而复杂，因为为了防止错误，大多数用户会选择复制字符串而不是手动输入。

  随着加密货币价格的持续上涨，未来可能会出现越来越多针对虚拟货币的恶意软件，因为它是目前非法获利较多、较为快捷便利的方式之一。