譯者 | 陳峻
審校 | 重樓
數字資產的興起不僅吸引了合法的投資者,也吸引了試圖利用數字生態系統漏洞的網絡犯罪分子。目前,盜取加密貨幣的惡意軟件已成為了區塊鏈應用的重大威脅之一。它們不但能夠侵入用戶的設備,而且會盜取他們辛苦“挖”來的數字財富。此類惡意軟件有著多種形式,而每種形式都有其獨特的功能和攻擊方法。隨著加密貨幣領域的不斷發展,了解潛在的風險,對于保護自己不成為攻擊的受害者,是至關重要的。
下面,我將重點介紹五種最令人困擾的竊取加密貨幣的惡意軟件,并將分享一些實用的預防小貼士,來保護自己免受其害。
1.勒索軟件
“贖金(ransom)”+“惡意軟件(malware)”名如其意,它會加密受害者的文件,或鎖定他們的計算機,使其無法訪問。接著,攻擊者會索要贖金(通常是加密貨幣),作為提供解密的密鑰、或是解鎖被入侵系統的交換條件。這是一種網絡勒索技術,其目的是脅迫受害者支付贖金,以重新獲得對其數據或設備的訪問權。
想象一下,您收到一封帶有誘人鏈接的電子郵件,而在點擊之后,電腦屏幕馬上被“凍結”,并彈出一條消息,聲稱:“您的所有文件都已被加密并無法訪問”。同時,該消息要求您在規定的時間內支付特定金額的加密貨幣,以獲得解密密鑰。這些情況都說明了勒索軟件已經挾持了您的電腦和數據。
根據區塊鏈數據分析公司 Chainalysis 的數據顯示:“隨著基于加密貨幣的犯罪形式在2023年持續增長,攻擊者勒索到的金額比 2022 年同期增加了 1.758 億美元”。勒索軟件尤其以全球性企業為目標。如果受害者決定支付贖金的話,每筆贖金本身通常等值為數百萬美元。
最常見的勒索軟件傳播方式莫過于網絡釣魚(或身份冒充)、惡意廣告、以及盜版軟件。而對于企業來說,此類攻擊大多是有針對性的,而且是經過周密計劃的。
2.惡意瀏覽器擴展
瀏覽器擴展是一種軟件附加的組件或插件。用戶可以將其安裝到自己的Web瀏覽器中,以增強功能或改善上網體驗。然而,有些擴展程序是出于惡意目的而創建的,旨在利用用戶的瀏覽活動,以達到不法的目的。
想象一下,您在瀏覽器中安裝了一個看似有用的加密貨幣價格查詢擴展,卻并不知道該擴展是惡意程序。一旦被安裝,它便會獲取您的瀏覽歷史記錄,從而監控您的加密貨幣交易。據此,當您登錄加密貨幣交易所或錢包時,該擴展就會暗中收集您的登錄憑證和私鑰等敏感信息,并將其發送給攻擊者。攻擊者甚至可以清空您的加密錢包。
讓我們來看一個真實的案例:安全研究人員發現了一種名為 Rilide 的新型惡意瀏覽器擴展。其目標瀏覽器是包括:Google Chrome、Brave、Opera 和 Microsoft Edge在內,基于 Chromium 的瀏覽器。該惡意軟件會監控瀏覽器上的各種活動、截圖,并通過在網頁上注入腳本的方式,竊取加密貨幣。同時,它通過模仿良性的 Google Drive 擴展,以逃避檢測。
經研究發現,該惡意軟件通常會通過兩種獨立的活動來傳播--使用谷歌廣告與 Aurora Stealer ,或使用 Ekipa 的遠程訪問木馬(remote access trojan,RAT)來加載擴展。Rilide 能夠繞過雙因素身份驗證 (two-factor authentication,2FA),通過偽造的對話框,來欺騙受害者輸入臨時代碼,從而自動處理加密貨幣的取款請求。
3.惡意剪貼板
作為一種惡意軟件,它也是專門針對加密貨幣交易,并以竊取數字資產為目標的。當用戶在交易過程中復制并粘貼目標地址時,它會使用攻擊者的地址,替換收件人的錢包地址。因此,本應發送給合法收件人的資金,會被轉移到黑客的錢包中。而且,所有這一切都是悄然發生的。
想象一下,您正準備為朋友當前的購物支付加密貨幣。當您將朋友的錢包地址復制并粘貼到付款欄時,您卻不知道,惡意剪切板已悄然在您的設備上秘密運行了。由于能夠識別到那串特定的字符,因此惡意剪切板可以檢測并復制該地址。接著,它會將其替換為攻擊者的地址,并且偷偷地進行資金的非法轉移。
目前,有幾種十分典型的惡意剪切板正在網上大殺四方。其中之一便是Laplas剪切板和MortalKombat勒索軟件的聯動。受害者會收到一封來自 CoinPayments 或其他加密公司的虛假電子郵件。一旦點擊其中的惡意鏈接,勒索剪切器板會被下載。目前,大多數受害者來自美國,而英國、土耳其和菲律賓也有用戶受到其影響。
4.加密劫持
此類軟件雖然不會直接竊取資金,但是會在您不知情的情況下,無償使用您的設備,并從中獲利。此類行為非但不會給您帶來任何好處,而且可能在此過程中造成一些問題。也就是說,加密劫持軟件會秘密地控制受害者的計算機或設備,在未經用戶許可的情況下,利用其處理能力,執行加密貨幣挖礦所需的復雜計算,通過持續挖掘加密貨幣的形式,以受害者為代價,讓攻擊者受益。
例如,在某次瀏覽網頁或下載之后,您可能會發現自己的電腦變得遲緩,風扇開始比平時工作得更頻繁,以及耗電量增加等情況。這些意想不到的速度變緩跡象,都暗示了加密劫持惡意軟件在您訪問受過攻擊的網站時,感染到了您的系統上,并正在從中非法獲利。
而在移動設備方面,情況則更糟。它們可能會因為過熱而導致硬件組件的損壞。互聯網安全方案提供商SonicWall發現,“2023 年上半年,全球共記錄到 3.32 億次加密劫持攻擊,比去年增長了 399%,并創下了歷史新高”。
說道感染途徑,一般受害者會在使用盜版應用或訪問受感染的網站時被盯上。當然,攻擊者也會以云服務及其服務器為目標,秘密挖掘Monero(XMR)和Dero(DERO)幣。目前,在北美和歐洲,尤其是在美國、加拿大、丹麥、德國和法國,都已發現了此類劫持攻擊。
5.遠程訪問木馬(RAT)
顧名思義,遠程訪問木馬(RAT)是一種偽裝式的惡意軟件。它允許黑客從遠程位置,未經授權地訪問并控制受害者的計算機或設備。一旦安裝了RAT,黑客就可以執行各種惡意活動,如竊取敏感信息,監控用戶行為,以及在受害者不知情的情況下執行命令。
例如,您下載了一個看似無害的加密貨幣錢包的軟件更新。然而,該更新里就包含了一個隱藏的 RAT。一旦被安裝,RAT 就會向攻擊者授予遠程訪問權限。攻擊者便可以監控您的加密貨幣交易,進而訪問您的數字錢包的私鑰。有了這種未經授權的訪問權限,攻擊者還可以悄悄地將您的數字資產轉移到他們自己的錢包中,從而有效地竊取您的資金。可見,只從可信來源下載軟件,是防范 RAT 和其他網絡威脅的重要手段之一。
最近,網絡安全公司 Cyble 將此類惡意軟件的一個新變種命名為“變色龍”。它能夠偽裝成安卓設備上流行的加密應用,例如:加密貨幣交易所等。一旦被無知的受害者安裝,“變色龍”就能夠讀取每一次按鍵(使用鍵盤記錄器),顯示假屏幕(采取覆蓋攻擊),并竊取短信、密碼和 Cookie 等重要數據。當然,它們必然會竊取加密貨幣。
如何防范加密貨幣盜竊攻擊
顯然,我們有責任和義務保護自己的加密貨幣資金。對此,我們可以從如下簡單的實踐做起:
- 使用信譽良好的安全軟件:在所有設備上安裝、并定期更新信譽良好的殺毒軟件和反惡意軟件。這些工具可以在加密竊取攻擊造成危害之前,對設備進行實時檢測和查殺。
- 從可信來源處下載:只從官方網站或可信的應用商店處下載加密貨幣錢包、應用和擴展程序。請避免點擊可疑的鏈接、或從未知來源下載軟件。
- 保持軟件更新:定期更新操作系統、Web瀏覽器和所有應用程序,并及時修補那些可能被攻擊者利用的漏洞。
- 啟用復雜密碼和雙因素驗證(2FA):請盡可能地為加密貨幣交易所賬戶和錢包啟用2FA。2FA能夠增加一個額外的保護層,以防止未經授權的訪問。
- 使用離線錢包存儲加密貨幣:離線錢包,也被稱為冷錢包,可以通過離線的方式存儲數字資產,并將其與黑客等在線威脅相隔離,從而增強加密貨幣的安全性。
- 遠離網絡釣魚:請小心那些網絡釣魚的電子郵件和模仿合法平臺的網站。在提供敏感信息或點擊鏈接之前,請仔細檢查URL和電子郵件的發件人地址。
- 使用二維碼并檢查地址:前文提到的惡意剪貼板的成功,主要源于用戶缺乏對此方面的關注。請嘗試使用二維碼而不是復制粘貼功能,并在發送資金之前仔細檢查每個加密地址。
- 警惕瀏覽器擴展:在安裝瀏覽器擴展、尤其是與加密貨幣相關的擴展時,請務必謹慎。僅使用知名開發商提供的信譽良好的擴展程序是一個不錯的實踐。
- 監控設備的活動:請定期查看設備的運行進程、活動擴展和應用程序,以及時發現任何可疑的后臺活動。
- 連接安全的Wi-Fi:在進行加密貨幣交易或訪問敏感信息時,請避免使用公共Wi-Fi網絡。可信、安全的專用網絡往往能夠幫助您增加安全性。
- 自我教育:了解最新的網絡安全威脅和最佳實踐。畢竟,安全意識是抵御加密貨幣盜竊的第一道防線。
小結
通過采取上述預防措施,并保持謹慎的安全態度,您可以大幅降低成為加密貨幣竊取的受害者的風險,也能夠持續保護您的寶貴數字資產。
譯者介紹
陳峻(Julian Chen),51CTO社區編輯,具有十多年的IT項目實施經驗,善于對內外部資源與風險實施管控,專注傳播網絡與信息安全知識與經驗。
原文標題:5 Crypto-Stealing Malware Threats: How to Stay Safe and Aware,作者:@obyte
