安全研究人员发现新的比特币钱包专用木马
根据Zscaler ThreatLabZ的9月12日报告,安全研究人员发现了一种窃取比特币(BTC)钱包数据的新型远程访问木马(RAT)恶意软件。
被称为InnfiRAT的RAT旨在为受感染的机器执行各种任务,包括专门寻找比特币和莱特币(LTC)钱包数据。
对受感染系统的多管齐下攻击
研究人员指出,InnfiRAT是用.NET编写的,这是一个由微软开发的软件框架,用于开发各种应用程序。
该恶意软件旨在访问和窃取存储在受害者计算机上的个人数据 – 抓取浏览器cookie以窃取存储的用户名和密码以及会话数据。它还可以截取屏幕截图,从打开的窗口中窃取信息,并搜索系统以便其他正在运行的应用程序进行定位。
一旦收集,数据就被发送到命令和控制(C&C)服务器,请求进一步的指令,其中可以包括将额外的有效载荷下载到受感染的系统上。
Zscaler ThreatLabZ详细说明了RAT如何设计来检索比特币钱包数据,如下所示:
“恶意软件会创建一个BitcoinWallet类型的空列表,其中BitcoinWallet有两个键,即:
“WalletArray”
“WalletName”
执行检查以查看系统中是否存在Litecoin或比特币钱包的文件位于以下位置:
Litecoin:%AppData% Litecoin wallet.dat
比特币:%AppData% Bitcoin wallet.dat
如果找到,则在为WalletName键指定名称并在WalletArray键中读取相应的钱包文件后,将BitcoinWallet类型的元素添加到列表中。
最后,发送创建的列表以响应C&C服务器。“
警告不受信任的来源
总而言之,安全研究人员警告称,像InnfiRAT这样的RAT普遍存在,它不仅可以访问和窃取机密数据,还可以记录击键,激活系统的网络摄像头,格式化驱动器并传播给其他系统。网络。
他们指出,系统通常会通过下载受感染的应用程序或电子邮件附件来感染RAT,警告用户不要下载程序或打开来自未知来源的附件。
正如今年夏天报道的那样,Zscaler ThreatLabZ之前发布了另一个名为Saefko的RAT,它也是用.NET编写的,旨在检索浏览器历史记录并寻找包括加密货币交易在内的活动。