加密貨幣用戶傳送資金時必須小心了,最近出現一種新型木馬程式,可以修改剪貼簿中的內容。當交易者複製錢包地址時,木馬將會竄改內容,若是貼上地址之後沒有檢查,用戶的加密貨幣可能就落入駭客的錢包中了。
比特幣用戶並不是第一次、也不會是最後一次遇到木馬程式,這些惡意軟體在加密貨幣領域已存在許多年了。惱人的是,每次出現的新木馬總會增加一些不同的功能,就如同最近出現的Evrial。
最早發現Evrial的是網路安全團隊MalwareHunterTeam以及Guido Not CISSP,這個木馬可以監控Windows剪貼簿中的字串,透過修改錢包地址或網址,讓駭客可以輕易攔截加密貨幣或Steam的交易。
根據MalwareHunterTeam的說法,Evrial正在俄羅斯的犯罪論壇上以1,500盧布(約27美元)的價格出售。賣家在廣告詳述了用法:
- 當攻擊者購買之後會得到一個網頁連結,並得以下載一個用來散布的執行檔。當受害者執行這個檔案,Evrial就被寫入開機啟動的名單當中,每當電腦開機便開始監控瀏覽器及剪貼簿。
- 當Evrial偵測到剪貼簿被修改了,並且內容為它所支援的格式,這個木馬就會將內容替換成攻擊者設定的字串。
- 即便剪貼簿沒有修改,Evrial也會將受害者的桌面截圖、桌面檔案、網站密碼及cookie打包成.zip檔案並回傳。
其中支援的格式包括比特幣、以太幣、萊特幣、門羅幣等加密貨幣地址以及Steam交易連結網址。
可被打包的桌面檔案格式則是.doc、.txt以及log檔。可被盜取密碼及cookie的瀏覽器包括Chromium、Google Chrome、Opera、Kometa、Amigo、Orbitum等。
除了修改錢包地址及盜取密碼,Evrial更可以查詢登錄機碼(registry key)來確定比特幣的wallet.dat檔案位置,如果有密鑰,它可以直接竊取錢包。
然而,目前還不確定Evrial的散布方式,最安全的作法的保持良好的電腦使用習慣。例如不要執行陌生郵件的附加檔案,或在不知名網站上隨意點選連結,同時要將防毒軟體更新到最新版本。
區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。
