译者 | 陈峻
审校 | 重楼
数字资产的兴起不仅吸引了合法的投资者,也吸引了试图利用数字生态系统漏洞的网络犯罪分子。目前,盗取加密货币的恶意软件已成为了区块链应用的重大威胁之一。它们不但能够侵入用户的设备,而且会盗取他们辛苦“挖”来的数字财富。此类恶意软件有着多种形式,而每种形式都有其独特的功能和攻击方法。随着加密货币领域的不断发展,了解潜在的风险,对于保护自己不成为攻击的受害者,是至关重要的。
下面,我将重点介绍五种最令人困扰的窃取加密货币的恶意软件,并将分享一些实用的预防小贴士,来保护自己免受其害。
“赎金(ransom)”+“恶意软件(malware)”名如其意,它会加密受害者的文件,或锁定他们的计算机,使其无法访问。接着,攻击者会索要赎金(通常是加密货币),作为提供解密的密钥、或是解锁被入侵系统的交换条件。这是一种网络勒索技术,其目的是胁迫受害者支付赎金,以重新获得对其数据或设备的访问权。
想象一下,您收到一封带有诱人链接的电子邮件,而在点击之后,电脑屏幕马上被“冻结”,并弹出一条消息,声称:“您的所有文件都已被加密并无法访问”。同时,该消息要求您在规定的时间内支付特定金额的加密货币,以获得解密密钥。这些情况都说明了勒索软件已经挟持了您的电脑和数据。
根据区块链数据分析公司 Chainalysis 的数据显示:“随着基于加密货币的犯罪形式在2023年持续增长,攻击者勒索到的金额比 2022 年同期增加了 1.758 亿美元”。勒索软件尤其以全球性企业为目标。如果受害者决定支付赎金的话,每笔赎金本身通常等值为数百万美元。
最常见的勒索软件传播方式莫过于网络钓鱼(或身份冒充)、恶意广告、以及盗版软件。而对于企业来说,此类攻击大多是有针对性的,而且是经过周密计划的。
浏览器扩展是一种软件附加的组件或插件。用户可以将其安装到自己的Web浏览器中,以增强功能或改善上网体验。然而,有些扩展程序是出于恶意目的而创建的,旨在利用用户的浏览活动,以达到不法的目的。
想象一下,您在浏览器中安装了一个看似有用的加密货币价格查询扩展,却并不知道该扩展是恶意程序。一旦被安装,它便会获取您的浏览历史记录,从而监控您的加密货币交易。据此,当您登录加密货币交易所或钱包时,该扩展就会暗中收集您的登录凭证和私钥等敏感信息,并将其发送给攻击者。攻击者甚至可以清空您的加密钱包。
让我们来看一个真实的案例:安全研究人员发现了一种名为 Rilide 的新型恶意浏览器扩展。其目标浏览器是包括:google Chrome、Brave、Opera 和 Microsoft Edge在内,基于 Chromium 的浏览器。该恶意软件会监控浏览器上的各种活动、截图,并通过在网页上注入脚本的方式,窃取加密货币。同时,它通过模仿良性的 Google Drive 扩展,以逃避检测。
经研究发现,该恶意软件通常会通过两种独立的活动来传播--使用谷歌广告与 Aurora Stealer ,或使用 Ekipa 的远程访问木马(remote access trojan,RAT)来加载扩展。Rilide 能够绕过双因素身份验证 (two-factor authentication,2FA),通过伪造的对话框,来欺骗受害者输入临时代码,从而自动处理加密货币的取款请求。
作为一种恶意软件,它也是专门针对加密货币交易,并以窃取数字资产为目标的。当用户在交易过程中复制并粘贴目标地址时,它会使用攻击者的地址,替换收件人的钱包地址。因此,本应发送给合法收件人的资金,会被转移到黑客的钱包中。而且,所有这一切都是悄然发生的。
想象一下,您正准备为朋友当前的购物支付加密货币。当您将朋友的钱包地址复制并粘贴到付款栏时,您却不知道,恶意剪切板已悄然在您的设备上秘密运行了。由于能够识别到那串特定的字符,因此恶意剪切板可以检测并复制该地址。接着,它会将其替换为攻击者的地址,并且偷偷地进行资金的非法转移。
目前,有几种十分典型的恶意剪切板正在网上大杀四方。其中之一便是Laplas剪切板和MortalKombat勒索软件的联动。受害者会收到一封来自 CoinPayments 或其他加密公司的虚假电子邮件。一旦点击其中的恶意链接,勒索剪切器板会被下载。目前,大多数受害者来自美国,而英国、土耳其和菲律宾也有用户受到其影响。
此类软件虽然不会直接窃取资金,但是会在您不知情的情况下,无偿使用您的设备,并从中获利。此类行为非但不会给您带来任何好处,而且可能在此过程中造成一些问题。也就是说,加密劫持软件会秘密地控制受害者的计算机或设备,在未经用户许可的情况下,利用其处理能力,执行加密货币挖矿所需的复杂计算,通过持续挖掘加密货币的形式,以受害者为代价,让攻击者受益。
例如,在某次浏览网页或下载之后,您可能会发现自己的电脑变得迟缓,风扇开始比平时工作得更频繁,以及耗电量增加等情况。这些意想不到的速度变缓迹象,都暗示了加密劫持恶意软件在您访问受过攻击的网站时,感染到了您的系统上,并正在从中非法获利。
而在移动设备方面,情况则更糟。它们可能会因为过热而导致硬件组件的损坏。互联网安全方案提供商SonicWall发现,“2023 年上半年,全球共记录到 3.32 亿次加密劫持攻击,比去年增长了 399%,并创下了历史新高”。
说道感染途径,一般受害者会在使用盗版应用或访问受感染的网站时被盯上。当然,攻击者也会以云服务及其服务器为目标,秘密挖掘Monero(XMR)和Dero(DERO)币。目前,在北美和欧洲,尤其是在美国、加拿大、丹麦、德国和法国,都已发现了此类劫持攻击。
顾名思义,远程访问木马(RAT)是一种伪装式的恶意软件。它允许黑客从远程位置,未经授权地访问并控制受害者的计算机或设备。一旦安装了RAT,黑客就可以执行各种恶意活动,如窃取敏感信息,监控用户行为,以及在受害者不知情的情况下执行命令。
例如,您下载了一个看似无害的加密货币钱包的软件更新。然而,该更新里就包含了一个隐藏的 RAT。一旦被安装,RAT 就会向攻击者授予远程访问权限。攻击者便可以监控您的加密货币交易,进而访问您的数字钱包的私钥。有了这种未经授权的访问权限,攻击者还可以悄悄地将您的数字资产转移到他们自己的钱包中,从而有效地窃取您的资金。可见,只从可信来源下载软件,是防范 RAT 和其他网络威胁的重要手段之一。
最近,网络安全公司 Cyble 将此类恶意软件的一个新变种命名为“变色龙”。它能够伪装成Android/ target=_blank class=infotextkey>安卓设备上流行的加密应用,例如:加密货币交易所等。一旦被无知的受害者安装,“变色龙”就能够读取每一次按键(使用键盘记录器),显示假屏幕(采取覆盖攻击),并窃取短信、密码和 Cookie 等重要数据。当然,它们必然会窃取加密货币。
显然,我们有责任和义务保护自己的加密货币资金。对此,我们可以从如下简单的实践做起:
通过采取上述预防措施,并保持谨慎的安全态度,您可以大幅降低成为加密货币窃取的受害者的风险,也能够持续保护您的宝贵数字资产。
陈峻(Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。
原文标题:5 Crypto-Stealing Malware Threats: How to Stay Safe and Aware,作者:@obyte