近年来比特币价格呈现爆发式增长,价格已逾黄金 10 倍,估值甚至超过部分国家货币,仅上周时间价格上涨一度超过 60%。如此疯狂的涨幅自然少不了被黑客组织所关注,近日安全研究人员发现,有黑客通过投放关于“ Gunbot 比特币交易机器人”的虚假广告来传播 Orcus 远程访问木马(RAT),其目的就在于窃取用户比特币。同时该木马背后的开发者还部署了一个虚假比特币论坛 bitcointalk[.]org 进行钓鱼活动。
来自 FortiGuards 实验室的研究人员发现了针对热心的比特币投资者的网络钓鱼活动,有黑客组织通过发送广告邮件宣传可为用户提供由 GuntherLab 或 Gunthy 开发的新的合法比特币交易机器人 Gunbot,可帮助监测不同交易平台之间的价格差异。若出现盈利的机会,软件将会根据用户此前的设定在平台之间自动买卖比特币。
研究人员表示,垃圾邮件中所提供的比特币交易机器人 Gunbot 实际上是为恶意软件Orcus RAT服务的,它并不带来相关利润反而会导致投资者遭遇更多损失。 这个带有虚假广告的钓鱼电子邮件实际上带有一个名为 “ sourcode.vbs ” 的 zip 文件附件,其中包含一个简单的 VB 脚本。当用户触发脚本时会下载一个伪装成 JPEG 图像、但实际上是 PE 二进制的文件。
“乍一看,下载的可执行文件似乎是一个良性的库存系统工具,包含很多对 SQL 命令的库存程序的引用。然而,通过进一步的分析,我们发现它是实际一个开源库存系统工具的木马化版本—— TTJ 库存系统”。研究人员表示这些黑客组织可能缺乏相关行业经验,只是使用了在别处购买的网络钓鱼组件,又或者是对方并不在意钓鱼行为被检测到,只要有用户触发了 VB脚本他们便能够得逞。
据脚本的评论表明,网络钓鱼背后的黑客无意隐瞒其行为
自 2016 年以来,恶意软件 Orcus 的开发人员一直在将其作为远程管理工具进行广告宣传,因为它具有 RAT 软件能够提供的所有功能,并且它还加载用户开发的定制插件或者Orcus 仓库中提供的插件。而Orcus 仓库中的某些插件可用于执行分布式拒绝服务(DDoS)攻击。就像其他远程访问木马一样,Orcus还具有密码检索和关键日志功能,可以窃取受害者在其设备上输入的所有内容,并且还可以实时远程执行被感染机器上的任意代码。另外,它还可以在网络摄像头上禁用指示灯,以避免提醒用户他们的网络摄像头处于活动状态,如果用户试图关闭进程则会触发系统蓝屏(BSOD),这也使得用户难以将其从系统中移除。
调查显示,该木马背后的开发商部署了一套虚假比特币论坛 bitcointalk[.]org,通过冒充 Gunbot 工具来下载恶意软件。这一伪造的比特币交易工具包含一个类似的 trojanised “ 库存系统 ” 和一个 VB 脚本。Fortinet 的研究人员猜测这个设置的小变化将会被用在另一个钓鱼活动中。
研究人员指出,该域名似乎已经注册到了 “ Cobainin Enterprises ”,并且还有其他可疑的域名注册。他们怀疑黑客在他们的恶意软件活动之间循环使用这些网站。在对 Orcus RAT 的调查中,研究人员表示 RAT 的行为实际已经超出了无害管理工具的范围,无论开发者如何辩解,这些应用程序被用于网络犯罪活动都已成事实。
相关阅读:
来自 Fortinet 的分析报告《A Peculiar Case of Orcus RAT Targeting Bitcoin Investors》
消息来源:IBTimes,编译:榆榆,审校 :FOX
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册