产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
一个名为clipsa的新恶意软件在过去一年中一直在影响世界各地的用户。
这个新恶意软件的突出之处在于,除了传统的功能 - 例如窃取加密货币钱包文件的能力,安装加密货币挖掘机,以及劫持用户的剪贴板以替换加密货币地址 - clipsa还包括一个有点奇怪的功能,允许它对wordpress网站发起暴力攻击。
这种行为很奇怪,主要是因为针对wordpress站点的大多数暴力攻击都是由受感染服务器或物联网设备的僵尸网络执行的。
“虽然我们不能肯定地说,但我们认为clipsa背后的攻击者从被破坏的[wordpress]网站窃取了更多数据,”avast恶意软件研究员janrubín在本周早些时候发布的clipsa功能的技术深入研究中表示。
“我们还怀疑他们使用受感染的[wordpress]网站作为辅助c&c服务器来托管矿工的下载链接,或上传和存储被盗数据,”他说。
clipsa依然痴迷于加密货币
但是,虽然对wordpress网站发起暴力攻击是一个有趣的功能,但clipsa的主要关注点 - 毫无疑问 - 是加密货币及其用户。
首先,恶意软件将扫描受害者的计算机上的wallet.dat文件。这些是加密货币钱包应用程序的数据库文件。内部包含的数据允许任何人从钱包的所有者那里劫持资金。clipsa识别此类文件,然后将其上载到远程服务器。
其次,clipsa还搜索txt文件,它打开并搜索bip-39格式的字符串。此文本模式主要用于存储比特币助记符种子恢复短语,即有时用作加密货币钱包密码的单词序列。如果发现任何此类模式,恶意软件会将这些文本保存到另一个文件并将其上传到其c&c服务器,以便以后可以用它们来破解被盗的wallet.dat文件。
第三,恶意软件还安装了一个监视用户操作系统剪贴板的进程(在粘贴之前存储复制/剪切的数据)。此过程监视用户复制或剪切看起来像比特币或以太坊地址的文本模式的事件。然后clipsa进入其中一个运营商替换该地址,希望劫持受感染用户可能正在进行的任何付款。
第四,在某些情况下,avast表示clipsa还将在受感染的主机上部署xmrig。xmrig是一个开源应用程序,可以挖掘monero加密货币。
感染统计
avast表示,自去年(2018年8月1日)以来,他们的防病毒产品组已经阻止了超过253,000名用户的clipsa感染。
根据avast,clipsa检测的数量最多的是印度,孟加拉国,菲律宾,巴西,巴基斯坦,西班牙和意大利等国。
avast表示,clipsa感染的主要来源似乎是用户从互联网上下载的媒体播放器的编解码器包安装程序。
由于恶意下载链接一次可在线提供数月,这也解释了为什么clipsa检测以恒定速率检测,而不是大集群 - 这表明恶意软件是通过大型电子邮件垃圾邮件活动分发的。
此外,clipsa背后的团队似乎也在盈利,这意味着我们将来会看到更多这种恶意软件。
avast表示,它分析了clipsa过去使用过的9,412个比特币地址的余额。czecz反病毒制造商表示,clipsa运营者已经从其中117个地址中收到的资金中获得了近3个比特币。仅仅通过劫持受感染用户的剪贴板,每年大约35,000美元。
然而,恶意软件的运营者可能会赚更多钱,如果我们通过破解被盗的wallet.dat文件以及通过在用户的计算机上挖掘monero所赚取的资金来增加他们可能获得访问权限的资金。
试用申请
