Jaxx cryptocurrency tegnebog er det seneste offer for hackere. En hjemmeside spoofing den officielle hjemmeside for Jaxx blev for nylig taget ned efter Flashpoint forskere opdagede flere infektioner forbundet med operationen. Den falske websted havde en URL ligner det oprindelige ene og var at levere ”en række tilpassede og råvarepriser stammer af malware". Formålet med denne operation var at tømme tegnebøger af Jaxx brugere.
Mere om Jaxx
Ifølge Jaxx egne statistikker, det er et populært cryptocurrency tegnebog, downloadet over 1.2 million gange på både stationære og mobile. Det er vigtigt at bemærke, at Jaxx Liberty, den nyeste version af tegnebogen, Bitcoin indehavere, Ethereum, samt flere andre cryptocurrencies. Jaxx er ejet af canadiske blockchain opstart Decentral.
Hvordan gik det angreb på Jaxx Happen?
Første, Forskerne understreger, at angrebet var primært en social engineering trick hvilket betyder, at det ikke indebærer brug af en sikkerhedsbrist i ansøgningen, internet side, eller eventuelle decentrale domæner.
Flashpoint forskere anmeldt Jaxx og CloudFlare levering af indhold netværk. CloudFlare reagerede hurtigt og fjernet den misvisende hjemmeside, som omfattede ændringer af download links, omdirigere dem til en server styret af angriberne.
Desværre, forskerne var ude af stand til at identificere, hvordan angriberne lokket brugere til at besøge den forfalsket hjemmeside. Med andre ord, Det vides ikke, om angriberne forgiftede søgeresultater, brugt email phishing teknikker eller snydt chat programmer, eller noget andet.
Både Windows og Mac-brugere Målrettet
Som nævnt i rapporten:
tal Startdatoen for denne kampagne at være august. 19 når den svigagtige domæne blev oprettet. Angriberne var rettet mod Windows og Mac OS X-brugere med en bred vifte af malware udviklet til desktop-platforme. Enhver, der har klikket på de mobile downloads blev omdirigeret til den legitime Jaxx hjemmeside.
Simpelthen sagde, brugere, der endte på misvisende Jaxx hjemmeside, faldt for den fidus og troede de faktisk var på besøg den officielle hjemmeside. Dette skyldes det faktum, at angriberne gjort en indsats for faktisk at installere den legitime tegnebog softwaren på ofrenes computere, mens malware lydløst installeret i baggrunden.
Mac OS X-brugere blev præsenteret med en specialbygget ondsindede Java Archive (KRUKKE) fil, hvorimod den svigagtige software linket Windows hentede en specialfremstillet skriftlig .NET applikation.
Sidstnævnte udført ondsindet adfærd, exfiltrating alle offerets desktop-filer til en kommando-og-kontrol-server, og hentede også KPOT Stealer og Clipper. Begge trojanerne synes at blive markedsført på underjordiske russisk-sprogede cyberkriminalitet sites, forskerne påpegede.
Mac OS JAR fil blev programmeret i PHP og kompileret med en russisk sprog IDE kaldet DevelNext. At dømme efter Jaxx branding hele koden, malware blev udviklet udelukkende til denne kampagne.
Denne malware operation er et bevis på, at cyberkriminelle har forbedret deres taktik og fortsætter med at målrette cryptocurrency brugere. Chancerne er, at angriberne vil fortsætte med at bruge råvare malware kits udbydes til salg i underjordiske fora med det formål at stjæle både legitimationsoplysninger og cryptocurrencies fra brugere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: