操心比特币涨跌前,先看看它们还在不在你账户


摘要

近日,微步在线监测到有一境外黑客团伙自2015年起,就开始注册相似域名用于传播捆绑后门的工具软件,以盗取目标用户的加密货币。

事件概要

攻击目标 加密货币用户
时间跨度 2015年至今
攻击复杂度 丰富的编程经验和基础资源
后勤资源 丰富的基础资源
攻击向量 网络
风险程度
最终目标 加密货币

详情

近日,微步在线监测到有一伙境外黑客从2015年以来,就开始注册adtool.tech、jam-software.xyz、robomirror.xyz、electrum-wallet.com等仿冒主机管理工具、比特币钱包网站域名,用于传播捆绑了后门的工具软件,用户一旦从这些网站下载adtool、robomirror、electrum等工具,就会将主机内加密货币相关数据传回黑客的C&C服务器。

2017年8月,有境外用户在比特币社区发帖称从electrum-wallet.com网站下载了钱包工具,导致45比特币被盗走;11月,github用户“ ronaldobini”发布话题称该恶意网站仍然存活,几天后域名服务商Namecheap才关停了该站点。 

操心比特币涨跌前,先看看它们还在不在你账户

操心比特币涨跌前,先看看它们还在不在你账户

通过对比electrum-wallet.com与官方网站下载的electrum软件发现,该软件加入了盗取用户钱包和密钥的代码,会将其回传至robertpaulson.me、pinnacle-consulting.pw、bestoftechforums.org等站点,这些域名目前仍然存活,证明攻击活动仍在进行。

操心比特币涨跌前,先看看它们还在不在你账户

行动建议

利用IOC中的域名、hash进行自查。

请勿下载不明来源的软件工具。

IOC查看地址:https://x.threatbook.cn/nodev4/vb4/waparticle?threatInfoID=296&from=groupmessage&isappinstalled=0

editors

相关文章
发表回复