一、木馬概述
剪貼板幽靈瞄準虛擬貨幣,出師不利1個月虧損4000萬?360安全中心近期監控到一類虛擬貨幣類木馬非常活躍,該木馬不斷監控用戶的剪貼板內容,判斷是否為比特幣、以太坊等虛擬貨幣地址,然后在用戶交易的時候將目標地址修改成自己的地址,悄悄實施盜竊,我們將其命名為“剪貼板幽靈”。該木馬通過感染性病毒,木馬下載器,垃圾郵件在全球范圍傳播,國內也有大量用戶受到影響。
二、木馬分析
我們以樣本md5:f73731731b6503dc326bd9222047f18b為例做了分析。
木馬入口函數處為循環讀取剪貼板數據
讀取剪貼板函數為:
判斷是否為以太坊地址(ETH),如果是就替換掉剪貼板里面地址
替換函數為:
替換地址為
0x004D3416DA40338fAf9E772388A93fAF5059bFd5
該地址總計有46筆交易
最近幾次為
如果不是以太坊地址(ETH),則檢測是否為比特幣(BTC)類型的地址(長度在25和40之間并且以1和3開頭,滿足Base58格式)
其中有兩個比特幣地址
1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1
19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL
1Fo開頭的地址第一筆交易發生在6月9日,目前有5比交易,目前持有0.089比特幣,累計獲利超過3000元人民幣。該地址目前仍然活躍,最近一次交易發生在6月12日,有0.069比特幣入賬。
此類木馬,我們在過去一個月的攔截量超過了5萬筆,幫助用戶挽回損失超過4千萬(根據木馬平均收益估算)。
三、安全提醒
近期各類竊取用戶虛擬貨幣的木馬非常活躍,讓人防不勝防。注意保證安全軟件的常開以進行防御一旦受誘導而不慎中招,盡快使用360安全衛士查殺清除木馬
此外,360安全衛士已經專門推出了剪貼板防護功能,能夠對木馬替換剪貼板中虛擬貨幣地址的行為進行提示。該功能在設置中心的應用防護中
  
| 
