Jaxx钱包——网络钓鱼的下一个目标

Jaxx钱包——网络钓鱼的下一个目标

至少一周前,网络上出现了一个伪造的Jaxx加密货币钱包网站,其中存在恶意链接,以诱骗用户泄露保护虚拟资金的备份信息。

该网站域名为jaxx[.]ws,由于使用了Cloudflare的内容分发网络,可能会使其托管服务提供商难以发现。

美国情报公司Flashpoint的安全研究人员在8月30日发现了这一问题,当时网络犯罪活动引起的一系列感染行为激活了警报系统。然而该活动可能早在19日就已经开始了,因为这一天正好是攻击者域名的创建日期。

Jaxx钱包由加拿大区块链创业公司Decentral开发,这是一种流行的加密货币钱包,在电脑端和移动平台上的下载量超过120万。它支持多种类型的货币,包括比特币和以太坊。

攻击者试图隐身操作

除了注册一个极易与官方Jaxx网站(jaxx[.]io)混淆的域名,以及使用Cloudflare工具,攻击者还一比一复制了官方Jaxx网站的最初版本。

不仅如此,伪造Jaxx网站的访问者很少会发现这一骗局,“因为攻击者费尽心思在受害者的电脑上安装合法的Jaxx钱包,”Flashpoint在与BleepingComputer预先分享的一份报告中解释到。

但与此同时,以Java Archive(JAR)和.NET应用程序形式出现在MacOS或Windows平台上的恶意软件会在后台静默安装。如果有人要求提供钱包的移动端版本,他们会收到合法文件。

Jaxx钱包——网络钓鱼的下一个目标

事件可能涉及俄罗斯有关方面

Flashpoint的高级恶意软件研究员Paul Burbage说,针对Windows系统的恶意软件可以将文件泄露到命令和控制(C2)服务器,并下载俄罗斯地下论坛上销售的两款恶意软件:KPOT Stealer和Clipper。

Clipper的目的是监控剪贴板上可能出现的数字钱包地址,并将其偷偷更改为攻击者控制的其他地址。而KPOT Stealer则会从用户的本地驱动器上窃取一些关键信息。

macOS系统上的 JAR文件也指向俄罗斯的犯罪者,因为它是使用俄语IDE(集成开发环境)DevelNext进行编译的。

Burbage还透露,Flashpoint能够确定该欺诈网站是由俄罗斯VPS提供商hostland[.]ru托管的。

窃取解密钱包的验证信息

当用户运行JAR文件时,他们会收到一条消息,称遇到了无法创建新钱包的技术问题。然后,他们被引导到一个请求Jaxx钱包验证信息的应用程序界面,这实际上是解密钱包以获取数字资金的密码。

Flashpoint解释:“验证信息被泄露到攻击者的网络服务器上,受害者会收到一个用俄语和英语写的消息,指出”服务器不可用。请在4小时内再试一次。”

Jaxx钱包——网络钓鱼的下一个目标

启动.NET应用程序的Windows用户从Google Docs获取了一个声称是Jaxx钱包测试版的文件。安装后,恶意软件会将本地所有的TXT,DOC和XLS文件发送到C2服务器,让攻击者搜索加密货币钱包地址。

该操作的下一步是下载合法的Jaxx软件,KPOT Stealer窃取程序和Clipper恶意软件。

Flashpoint表示,Cloudflare已经暂停了对欺骗网站的服务,Jaxx也迅速采取行动应对这一伪造网站,以保护其客户权益。

Burbage最后指出这是针对Jaxx钱包用户的社交工程攻击活动,没有任何迹象表明Jaxx钱包或其系统中存在安全漏洞。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/113588.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code