代号为Fumik0_的恶意程序研究人员最近发现了山寨版的加密货币交易平台Cryptohopper,不小心访问了假冒的Cryptohopper就会被植入恶意程序,随后黑客就能窃取受害者计算机上的浏览器cookies、历史纪录、付款信息、登录凭证、加密货币钱包、浏览器的自动填入信息,或是双因素认证数据库。
Cryptohopper主要提供自动化的加密货币交易服务,然而Fumik0_近日却发现了它的山寨版,除了网址不同之外,所使用的商标及排版都与Cryptohopper的官方网站一致,而一但不小心连至山寨版,它就会自动下载一个执行档,执行的当下依然使用Cryptohopper的商标,但它实际上却是支Vidar木马。
去年10月现身的Vidar是以C++撰写,在黑市的价格为250美元到700美元之间,买家还可访问命令暨控制(C2)商店以产生自己的恶意程序代码。Vidar的功能包括搜索特定文件、窃取浏览器cookie中的ID、窃取浏览器历史纪录、窃取加密货币钱包、自双因素认证软件中窃取数据、窃取通讯软件中的消息,还可取得屏幕截屏。
Fumik0_向BleepingComputer说明,当访问山寨版Cryptohopper的受害者执行了Vidar之后,它会安装两个Qulab木马,一个为采矿工具,另一个则可用来挟持剪贴板。
由于Vidar的能力非常强大,而且该攻击锁定的是加密货币交易平台的用户,判断黑客的企图在于窃取Cryptohopper凭证,以盗走受害者存放在Cryptohopper的加密货币。
BleepingComputer建议用户应特别留意所访问网站的网址是否正确,在执行任何自网络上下载的文件时最好先经杀毒软件的扫描。