快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

剪贴板幽灵瞄准捏造货币,出师不利1个月亏损4000万?

1、木马概述

360安全中心近期监控到一类捏造货币类木马无比活跃,该木马不断监控用户的剪贴板内容,判定是否为比特币、以太坊等捏造货币地址,然后在用户交易的时辰将目标地址修改为本人的地址,悄悄实施盗窃,我们将其命名为“剪贴板幽灵”。该木马通过感染性病毒,木马下载器,垃圾邮件在环球范围传播,国内也有大批用户受到影响。

二、木马阐发

我们以样本md5:f73731731b6503dc326bd9222047f18b为例做了阐发。

木马入口函数处为轮回读取剪贴板数据

Clipboard Image.png

图1

读取剪贴板函数为:

Clipboard Image.png

图2

判定是否为以太坊地址(ETH),要是是就替代掉剪贴板内里地址

替代函数为:

Clipboard Image.png

图3

替代地址为

0x004D3416DA40338fAf9E772388A93fAF5059bFd5

该地址合计有46笔交易

Clipboard Image.png

图4

近来几次为

Clipboard Image.png

图5

要是否是以太坊地址(ETH),则检测是否为比特币(BTC)类型的地址(长度在25以及40之间并且以1以及3开头,餍足Base58格式)

Clipboard Image.png

图6

其中有两个比特币地址

1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1

19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL

Clipboard Image.png

图7

1Fo开头的地址第一笔交易发生在6月9日,目前有5比交易,企业黑客,目前持有0.089比特币,累计获利超过3000元人民币。该地址目前仍旧活跃,近来一次交易发生在6月12日,有0.069比特币入账。

Clipboard Image.png

图8

此类木马,我们在过去一个月的拦截量超过了5万笔,帮助用户挽归丧失超过4千万(根据木马平均收益估算)。

3、安全提醒

近期各类窃取用户捏造货币的木马无比活跃,让人防不胜防。注意保障安全软件的常开以进行防御一旦受引诱而不慎中招,绝快使用360安全卫士查杀清除木马

此外,360安全卫士已经专程推出了剪贴板防护功能,能够对木马替代剪贴板中捏造货币地址的举动进行提示。该功能在配置中心的应用防护中

Clipboard Image.png

图9

Clipboard Image.png

图10

Clipboard Image.png

图11

360安全卫士将会实时拦截各类木马的攻击,为用户计算机安全保驾护航。

一键开启地址为:

http://down.360safe.com/inst.exe

*

您可能还会对下面的文章感兴趣: