未知のハッキング集団が、偽のCryptohopperWebサイトの作成を伴う大規模なフィッシング攻撃の背後にあります. これは、何千人ものユーザーによって使用されている非常に人気のある暗号通貨取引プラットフォームです. それらのいずれかとの相互作用は、さまざまな種類のマルウェア感染につながる可能性があります.
偽のCryptohopperインスタンスがマルウェアを訪問者に拡散する
危険な偽のCryptohopper取引プラットフォームがさまざまな犯罪戦術を使用して大規模にプッシュされているため、最近のフィッシングの波が暗号通貨ユーザーに対して設定されています. レプリカサイトは、実際のアドレスを装ったサイトでホストされており、元のアドレスと同様のサウンドのドメイン名を利用する多数のアドレスでホストできます。.
現時点では、サイトの主な目標は 訪問時に自動的にSetup.exeペイロード. これは、マルウェアを配信するために正当なサイトのロゴ画像を使用するエンコードされたファイルです. 現時点では、進行中のキャンペーンの背後にある犯罪集団に関する情報はありません。. これは、フィッシングサイトを効果的に使用して、さまざまな種類のマルウェアを送信できることを意味します。:
- ランサムウェア —これらは危険なファイル暗号化ウイルスであり、主要なユーザーデータにアクセスできなくなります。. 通常、強力な暗号は特定のファイルタイプ拡張子に適用されます, 人気のあるファイルは次のとおりです: 画像, 音楽, ビデオ, データベース, ソフトウェア ,アーカイブなど. 被害者のファイルは特定の拡張子で名前が変更され、身代金メモが作成され、被害者を脅迫して復号化料金を支払います。.
- 暗号通貨マイナー —これらは危険なスクリプトであり、一連の複雑な数学的タスクをダウンロードして、CPUを含むマシンのパフォーマンスに大きな打撃を与えます。, メモリー, ハードディスク容量など. それらの1つが完了したと報告されるたびに、オペレーターはデジタルウォレットに直接少額の収入を受け取ります.
- トロイの木馬 —これらは危険なウイルスであり、サーバーへの永続的な接続を維持することでマシンの制御を引き継ぎ、オペレーターがマシンの制御を引き継ぐことができます。.
- ブラウザハイジャッカー —これらは、最も人気のあるWebブラウザー用に作成された危険なプラグインであり、ユーザーデータを乗っ取り、ハッカーが管理する特定のサイトを常に開くように操作します。.
現在、進行中の攻撃キャンペーンは、 Vidarトロイの木馬.
その構成により、感染したマシンとその関連ライブラリに他の2つのマルウェアの脅威がダウンロードされます. セキュリティレポートからわかることは、それらが2つの独立したエンジンとして機能することです。. 最初のものは、ダウンロードと実行に焦点を当てます 暗号通貨マイナーコード. 2番目のものはとして機能します クリップボードハイジャック犯 これは、ユーザー入力に注意を集中し、入力された機密情報を取得します. 偽のCryptohopperインスタンスによって配布されたマルウェアによって実行される可能性のあるその他のマルウェアアクションには、次のものがあります。:
- 永続的なインストール —配信されるメインのamlware, この場合、Vidarトロイの木馬, エントリとしてブートオプションに追加できます. これは、コンピューターの電源がオンになるとすぐに脅威が発生することを意味します.
- データハーベスティング —機密情報の取得は、被害者またはそのマシンに関する多くのデータを明らかにする可能性のある文字列を検索することで実行できます。. 次の文字列はハイジャックされる可能性があります: Webブラウザデータ, 保存されたアカウントの資格情報, 暗号通貨ウォレット, ドキュメント, テキストファイル, フォームデータと自動生成されたスクリーンショット.
このキャンペーンリリースでアクティブ化される2番目のモジュールであるクリップボードハイジャック犯は、Webセッション中に相互作用する暗号通貨ウォレットのアドレスも探します. このような操作が検出されると、エンジンは自動的にアドレスをハッカーが考案したアドレスに置き換えます。. 取得したサンプルは、以下の通貨に対して機能します:
イーサリアム, ビットコイン,ビットコインキャッシュ, ドージ, ダッシュ, ライトコイン, Zcash, ビットコインゴールド, QTUMとリップル
このような感染の被害者であるか、偽のCryptohopperサイトに遭遇する可能性があると疑われるすべての被害者は、必要な予防措置を講じ、マルウェア感染からシステムを保護する必要があります。.