天创培训:您身边的信息安全培训专家!
行业动态
新型软件病毒横空出世,不但能窃取和挖掘受感染主机密码,还能?

一个巨大的发现奇怪的新恶意软件病毒,除了窃取和挖掘受感染的主机上的密码,它还会对WordPress网站发起暴力攻击。

在过去的一年里,一种名为Clipsa的新的恶意软件已经流行开来,感染了来自世界各地的用户。

这个新威胁的突出之处在于,除了经典的恶意软件功能-比如窃取密码货币钱包文件、安装加密货币矿工、以及劫持用户的剪贴板以取代加密货币地址-Clipsa还包含了一个有点奇怪的功能,允许它对WordPress网站发起暴力攻击。

这种行为很奇怪,主要是因为大多数针对WordPress网站的暴力攻击都是由受感染的服务器或物联网设备组成的僵尸网络进行的。

看到桌面恶意软件对WordPress网站发起暴力攻击并不新鲜,但它很奇怪,而且非常罕见。

“虽然我们不能肯定地说,我们相信Clipsa背后的坏角色从被攻破的[WordPress]网站上盗取了更多的数据,”一位庞大的恶意软件研究员Jan Rubín在一篇文章中说。从技术上深入研究Clipsa的特征他本周早些时候出版了。

他说:“我们还怀疑他们利用受感染的[WordPress]网站作为辅助C&C服务器,为矿工提供下载链接,或者上传和存储被盗数据。”

克利普萨对密码货币的痴迷

但是,尽管对WordPress网站发起暴力攻击是一个有趣的特性,但Clipsa的主要关注点是-毫无疑问-关于加密货币及其用户。

首先,恶意软件将扫描受害者的计算机以查找wallet.dat文件。这些是用于加密货币钱包应用程序的数据库文件。里面包含的数据允许任何人劫持钱包所有者的资金。Clipsa识别这些文件,然后将它们上传到远程服务器。

其次,Clipsa还搜索TXT文件,它打开TXT文件,搜索BIP-39格式的字符串。此文本模式主要用于存储比特币助记种子恢复短语,也就是有时用作密码货币钱包密码的单词序列。如果发现任何这样的模式,恶意软件会将这些文本保存到另一个文件中,并将其上传到C&C服务器,以便稍后用于破解被盗的wallet.dat文件。

第三,恶意软件还安装了一个进程来监视用户的OS剪贴板(其中复制/剪切的数据在粘贴之前被存储)。此过程监视用户复制或剪切看起来像比特币或Etalum地址的文本模式的事件。然后Clipsa搬进来用它的运营商之一替换这个地址,希望劫持任何被感染的用户可能进行的支付。

第四,在某些情况下,Awide说Clipsa也将在受感染的主机上部署XMRig。XMRig是一个开源应用程序,用于挖掘Monero加密货币。通过部署XMRig,Clipsa操作员将在具有强大硬件配置的计算机上获得额外资金。

感染统计

A维吾尔说,自去年(2018年8月1日)以来,他们的抗病毒产品已经阻止了超过253,000名用户试图感染Clipsa。

虽然该公司的统计数据提供了一个狭窄的视角,因为它们来自有限数量的防病毒装置,统计数据显示Clipsa的影响范围,感染来自世界各地。

根据AVARCH公司的记录,在印度、孟加拉国、菲律宾、巴西、巴基斯坦、西班牙和意大利等国家发现的Clipsa最多。


阿瓦格说,Clipsa感染的主要来源似乎是用于媒体播放器的编解码包安装程序,用户可以从互联网上下载。

恶意下载链接一次在线下载几个月,这也解释了为什么Clipsa检测被检测到的速度是恒定的,而不是在大型集群中-这表明恶意软件正在通过大规模的电子邮件垃圾邮件活动传播。

此外,Clipsa背后的集团似乎也在盈利,这意味着我们将在未来看到更多的这种恶意软件。

A维吾尔表示,该公司分析了Clipsa过去使用过的9412个比特币地址的余额。捷克兹反病毒制造商表示,Clipsa运营商已经从117个比特币地址内收到的资金中,制造了近3000枚比特币。仅通过劫持受感染用户的剪贴板,每年约为35,000美元。


然而,如果我们再加上破解被盗的wallet.dat文件所获得的资金,以及在用户计算机上挖掘Monero所获得的资金,恶意软件运营商可能会赚更多的钱。