微软警告“Cryware”信息窃取恶意软件
17175
2022-05-20微软警告称,针对联网加密货币钱包的新威胁正在出现,这标志着在网络攻击中使用数字硬币的情况有所不同。
这家科技巨头将这种新威胁称为 “cryware”,这些攻击通过向对手控制的钱包进行欺诈性转移,导致虚拟货币不可逆转地被盗。
“Cryware 是直接从非托管加密货币钱包(也称为热钱包)收集和窃取数据的信息窃取程序,”Microsoft 365 Defender 研究团队的 Berman Enconado 和 Laurie Kirk 在一份新报告中表示。
“因为热钱包与托管钱包不同,它存储在本地设备上,并且可以更轻松地访问执行交易所需的加密密钥,因此越来越多的威胁正以它们为目标。”
这种攻击不是理论上的。今年早些时候,卡巴斯基披露了由总部位于朝鲜的 Lazarus Group 发起的一项出于财务动机的活动,该活动涉及使用旨在从热钱包中抽走资金的恶意软件针对加密公司。
Cryware 包含以下威胁:
1.Cryptojackers 偷偷消耗目标设备资源来挖掘加密货币
2. 使用加密货币作为赎金支付以避免被发现的勒索软件活动
3. 信息窃取者(例如 Mars Stealer、RedLine Stealer、Arkei 和 Raccoon)越来越多地升级以虹吸热钱包数据以及存储在系统中的其他有价值的信息
4.ClipBankers(又名 Clippers)通过监视剪贴板并将原始钱包地址替换为攻击者的地址来窃取交易期间的加密货币
这种信息窃取攻击旨在提取热钱包数据,例如私钥、助记词和钱包地址,从而允许攻击者发起恶意交易并将资金转移到另一个钱包。
或者,还观察到网络犯罪分子利用内存转储等技术以明文形式显示私钥、键盘记录以捕获受害者输入的击键,或设计相似的钱包网站来诱骗用户输入他们的私钥。
为了缓解此类威胁,微软建议用户和组织在不交易时锁定热钱包,断开与钱包连接的站点,避免以明文形式存储私钥,并在复制和粘贴信息时验证钱包地址的值。
“Cryware 标志着加密货币在攻击中的使用发生了转变:不再是达到目的的手段,而是目的本身,” 研究人员说。
————————————————
原文作者:安全圈
转自链接:https://www.wangan.com/p/7fy7f6e9a8f5f344
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
这家科技巨头将这种新威胁称为 “cryware”,这些攻击通过向对手控制的钱包进行欺诈性转移,导致虚拟货币不可逆转地被盗。
“Cryware 是直接从非托管加密货币钱包(也称为热钱包)收集和窃取数据的信息窃取程序,”Microsoft 365 Defender 研究团队的 Berman Enconado 和 Laurie Kirk 在一份新报告中表示。
“因为热钱包与托管钱包不同,它存储在本地设备上,并且可以更轻松地访问执行交易所需的加密密钥,因此越来越多的威胁正以它们为目标。”
这种攻击不是理论上的。今年早些时候,卡巴斯基披露了由总部位于朝鲜的 Lazarus Group 发起的一项出于财务动机的活动,该活动涉及使用旨在从热钱包中抽走资金的恶意软件针对加密公司。
Cryware 包含以下威胁:
1.Cryptojackers 偷偷消耗目标设备资源来挖掘加密货币
2. 使用加密货币作为赎金支付以避免被发现的勒索软件活动
3. 信息窃取者(例如 Mars Stealer、RedLine Stealer、Arkei 和 Raccoon)越来越多地升级以虹吸热钱包数据以及存储在系统中的其他有价值的信息
4.ClipBankers(又名 Clippers)通过监视剪贴板并将原始钱包地址替换为攻击者的地址来窃取交易期间的加密货币
这种信息窃取攻击旨在提取热钱包数据,例如私钥、助记词和钱包地址,从而允许攻击者发起恶意交易并将资金转移到另一个钱包。
或者,还观察到网络犯罪分子利用内存转储等技术以明文形式显示私钥、键盘记录以捕获受害者输入的击键,或设计相似的钱包网站来诱骗用户输入他们的私钥。
为了缓解此类威胁,微软建议用户和组织在不交易时锁定热钱包,断开与钱包连接的站点,避免以明文形式存储私钥,并在复制和粘贴信息时验证钱包地址的值。
“Cryware 标志着加密货币在攻击中的使用发生了转变:不再是达到目的的手段,而是目的本身,” 研究人员说。
————————————————
原文作者:安全圈
转自链接:https://www.wangan.com/p/7fy7f6e9a8f5f344
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
川公网安备51340102000194号