恶意软件发行商已经建立了一个伪装成合法CryptoHopper加密货币交易平台的站点,以便分发恶意软件的有效负载,例如信息窃取木马、恶意矿工和剪贴版劫持工具。

新攻击活动
在恶意软件研究人员Fumik0_发现的新攻击活动中,威胁行为者创建了一个伪装成CryptoHopper交易平台的虚假站点,在用户访问时将自动下载Setup.exe执行程序,可如下所示:

加密货币交易网站,实际用来推送恶意软件

其中这个Setup.exe可执行文件同样使用了CryptoHopper的图标,使它看起来像是来自该交易平台的合法下载,但实际上这是一个Vidar信息窃取木马。

执行该文件时,Vidar木马将下载所需的库,然后安装另外两个Qulab特洛伊木马:一个充当恶意矿工,另一个充当剪贴板劫持工具。

为了保持持久性,该恶意软件将创建计划任务,每1分钟都会自动启动剪贴板劫持工具和恶意矿工可执行文件。

信息窃取工具
下载文件并配置持久性后,Vidar木马将从受感染设备中收集大量数据,并在%ProgramData%文件夹中的随机命名目录下进行编译,如下图所示:

具体来说,Fumik0_解释了Vidar将尝试窃取以下信息:
浏览器cookie;
浏览器历史记录;
浏览器支付信息;
保存的登录凭据;
加密货币钱包;
文本文件;
浏览器窗口自动填充信息;
Authy 2FA认证器数据库
感染时的桌面截图,等等。

随后,这些信息将被上载到远程服务器,以便攻击者收集。成功上载信息后,该文件夹将自动从受感染设备中移除,只留下一些空文件夹。
由于CryptoHopper是一个加密货币交易平台,如果其中一个用户错误地访问了这个虚假站点并安装了该特洛伊木马,他们的CryptoHopper登陆凭据可能被窃取并被非法用于窃取存储在该平台上的加密货币。

窃取加密货币
Vidar还将下载并安装QuLab特洛伊木马,该木马将在受感染的设备上执行剪贴板劫持功能。

由于加密货币地址冗长且难记,人们通常将地址复制到Windows剪贴板中,然后再将它们粘贴到另一个应用程序中。当Qulab检测到加密货币地址被复制到剪贴板时,它会将复制的地址替换为受其控制的地址,以窃取加密货币。