操心比特币涨跌前，先看看它们还在不在你账户

编号:TB-2018-0001

报告置信度:80

TAG: Electrum，adtool，robomirror，捆绑后门，加密货币

TLP: 白

日期: 2018-01-11

摘要

近日，微步在线监测到有一境外黑客团伙自2015年起，就开始注册相似域名用于传播捆绑后门的工具软件，以盗取目标用户的加密货币。

事件概要

详情

近日，微步在线监测到有一伙境外黑客从2015年以来，就开始注册adtool.tech、jam-software.xyz、robomirror.xyz、electrum-wallet.com等仿冒主机管理工具、比特币钱包网站域名，用于传播捆绑了后门的工具软件，用户一旦从这些网站下载adtool、robomirror、electrum等工具，就会将主机内加密货币相关数据传回黑客的C&C服务器。

2017年8月，有境外用户在比特币社区发帖称从electrum-wallet.com网站下载了钱包工具，导致45比特币被盗走；11月，github用户“ronaldobini”发布话题称该恶意网站仍然存活，几天后域名服务商Namecheap才关停了该站点。

通过对比electrum-wallet.com与官方网站下载的electrum软件发现，该软件加入了盗取用户钱包和密钥的代码，会将其回传至robertpaulson.me、pinnacle-consulting.pw、bestoftechforums.org等站点，这些域名目前仍然存活，证明攻击活动仍在进行。

行动建议

利用IOC中的域名、hash进行自查。

请勿下载不明来源的软件工具。

附录