剪贴板幽灵瞄准虚拟货币，出师不利1个月亏损4000万？

zhaorong · 发表于网络安全 2018-6-25 15:16:15


	一、木马概述剪贴板幽灵瞄准虚拟货币，出师不利1个月亏损4000万?360安全中心近期监控到一类虚拟货币类木马非常活跃，该木马不断监控用户的剪贴板内容，判断是否为比特币、以太坊等虚拟货币地址，然后在用户交易的时候将目标地址修改成自己的地址，悄悄实施盗窃，我们将其命名为“剪贴板幽灵”。该木马通过感染性病毒，木马下载器，垃圾邮件在全球范围传播，国内也有大量用户受到影响。二、木马分析我们以样本md5：f73731731b6503dc326bd9222047f18b为例做了分析。木马入口函数处为循环读取剪贴板数据读取剪贴板函数为：判断是否为以太坊地址(ETH)，如果是就替换掉剪贴板里面地址替换函数为: 替换地址为 0x004D3416DA40338fAf9E772388A93fAF5059bFd5 该地址总计有46笔交易最近几次为如果不是以太坊地址(ETH)，则检测是否为比特币(BTC)类型的地址(长度在25和40 之间并且以1和3开头，满足Base58格式) 其中有两个比特币地址 1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1 19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL 1Fo开头的地址第一笔交易发生在6月9日，目前有5比交易，目前持有0.089比特币，累计获利超过3000元人民币。该地址目前仍然活跃，最近一次交易发生在6月12日，有0.069比特币入账。此类木马，我们在过去一个月的拦截量超过了5万笔，帮助用户挽回损失超过4千万(根据木马平均收益估算)。

微信扫一扫分享朋友圈

剪贴板幽灵瞄准虚拟货币，出师不利1个月亏损4000万？

浏览过的版块

微信扫一扫 分享朋友圈

剪贴板幽灵瞄准虚拟货币，出师不利1个月亏损4000万？

浏览过的版块

微信扫一扫分享朋友圈