币圈用户请小心!WebInjects可以清空你的加密货币账户

网络犯罪分子正在尝试各种各样的方法来将他们的“罪恶之手”伸向广大用户的加密货币钱包。研究人员发现,攻击者正在利用能够劫持浏览器(中间人攻击的一种)的恶意软件来劫持目标用户的在线账号,并实时进行欺诈交易,而这种攻击技术名为WebInjects(即Web注入)。

向目标站点中注入恶意脚本

从今年年初开始,来自SecurityScorecard的研究人员发现了两个僵尸网络,这两个僵尸网络分别由ZeusPanda和Ramnit恶意软件家族驱动,主要针对的是Coinbase.com和Blockchain.info这两款加密货币钱包。

需要注意的是,当用户在访问那些受这种恶意软件感染的网站时,恶意软件能够检测到用户的访问活动,并在后台悄悄注入经过混淆处理的恶意脚本,然后修改目标页面中所的呈现内容。

如果目标站点是Coinbase的话,恶意脚本会让原网站中邮件地址和密码的输入文本域失效,并创建一个新的恶意按钮然后叠加在“登录”按钮之上。这样一来,当用户输入了登录凭证并按下所谓的“提交”按钮之后,他们会认为自己完成了登录,但此时他们的凭证信息将发送给攻击者所控制的服务器。实际上,恶意软件还会假装登录受限,并要求用户进一步完成双因素身份验证:

当攻击者获取到目标用户的凭证数据之后,攻击者会利用这些数据来访问用户账号,并修改相应的安全设置以便进行之后的欺诈交易。研究人员Catalin Valeriu和Doina Cosovan解释称:“在大多数情况下,攻击者在获取到凭证之后,需要立刻使用数据来访问用户账号。尤其是WebInjects攻击在实现针对加密货币钱包的欺诈交易时,往往在登录账号之前需要完成双因素验证,因此攻击者在拿到凭证之后需要立刻响应并获取用户的双因素验证码。在此之前,老版本的Zeus恶意软件会使用Jabber即时消息软件来告知僵尸网络管理员成功接收到了用户凭证,但这种新型的恶意软件变种似乎使用的也是类似的机制。”

有趣的是,当攻击者成功修改了目标账号的安全设置之后,他们还可以通过屏蔽设置页面和错误信息来确保用户不会把设置改回来。

研究人员表示,当攻击者禁用了目标账号的多因素验证功能并且用户无法访问设置页面后,攻击者就可以随意进行各种加密货币交易了。

根据研究人员对当前恶意软件变种的分析结果显示,目前WebInjects还不能自动化完成加密货币窃取或交易。很明显,攻击者现在的主要目标是入侵用户账号并通过修改安全设置以备后续入侵。但是研究人员攻击者迟早会实现自动化的加密货币窃取,一切只是时间问题。

这种攻击技术还可以用来入侵Blockchain.info钱包。在这种攻击场景下,攻击者同样需要给目标用户呈现伪造的登录页面:

完成登录之后,恶意脚本会迅速初始化一个交易页面,并用伪造的加密货币钱包地址替换原始的合法地址,然后修改交易的加密货币类型以及金额。当用户完成了加密货币交易之后,恶意脚本会发送一个通知并告诉用户当前服务不可用,而此时用户根本不会意识到自己的钱包已经被“榨干”了。

如何保护用户的安全?

随着加密货币生态系统的不断成长,针对加密货币的恶意软件也会随之发展壮大。随着本文所分析的恶意软件变种(WebInjects)只会对Coinbase.co以及Blockchain.info这两款加密货币钱包进行攻击,但其他的WebInjects变种很可能会转向其他的加密货币交易所。

WebInjects这种攻击技术之所以会如此吸引攻击者,主要是因为这项技术能够快速适应目标服务的架构代码,并允许攻击者轻松修改代码以攻击新的加密货币交易服务。

广大用户可以查看自己的加密货币交易账号是否可以正常访问安全设置页面,是否收到了莫名其妙的多因素验证消息,或者是否收到了“服务不可用”的通知来判断自己是否受到了影响。如果你觉得自己的账号已经被入侵,请立刻在其他电脑上修改自己的密码。因为很多高级恶意软件会在入侵目标设备后实现持久化感染,因此同一设备很可能仍然是不安全的。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-03-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏申龙斌的程序人生

用API在Bigone上提交一笔订单

想写一个交易所的量化程序,第一步得利用API建立一笔订单,比如,我想在EOS-BTC市场中创建一笔卖单,价格为0.002985,数量为1个EOS。

23170
来自专栏架构师之路

1分钟了解区块链的本质

区块链,比特币这些概念最近都很火,但很多人搞不清楚它究竟是啥,准备从技术的角度,从架构的角度,用通俗的语言谈谈楼主的理解。 究竟啥是区块链? 答:一句话,区块链...

528160
来自专栏圆方圆学院精选

【刘文彬】区块链3.0:拥抱EOS

原文链接:醒者呆的博客园,https://www.cnblogs.com/Evsward/p/eos-intro.html

18640
来自专栏圆方圆学院精选

【许晓笛】EOS 系统架构图解

相信关心 EOS 系统的同学肯定见过下面这张蓝图。对,目前只是一个蓝图,而且以 BM 的尿性,肯定在心理已经把这张图改的面目全非了(比如图中的 eosd 早就改...

13630
来自专栏区块链大本营

超级账本Fabric的架构与设计

537130
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应付账款(158)-2 F-47预付款请求

4.1 创建供应商主记录 在此活动中,可以创建供应商主记录。 要执行该活动,使用此凭证中的主数据,运行 创建供应商主数据 (155.14)业务情景中的流程。 ...

428110
来自专栏梦里茶室

【Chromium中文文档】Web安全研究

保护浏览器不受扩展的缺陷影响 保护浏览器不受扩展的缺陷影响 Adam Barth, Adrienne Porter Felt, Prateek Saxena, ...

20050
来自专栏安恒网络空间安全讲武堂

记一次突破校园定时断网及免费上网

38620
来自专栏友弟技术工作室

EOS.IO 技术白皮书背景区块链应用的要求共识算法 (DPOS)帐户应用程序的确定性并行执行Token 模型与资源使用治理脚本 & 虚拟机跨链通信总结

草案:2017 年 6 月 26 日 (@dayzh (https://steemit.com/@dayzh))

12420
来自专栏一场梦

看片要当心了,不良网站不只掏空你,还可能掏空你的电脑!

17840

扫码关注云+社区

领取腾讯云代金券