虽然自去年以来密币迅猛发展,但用户还是需要将数字货币发送至很长且难以记住的地址中。因此,很多用户在发送数字货币时,只是将应用中的地址复制到内存中,然后粘贴到另外一个应用中。

攻击者利用这一做法创建了恶意软件“密币剪贴板劫持器 (CryptoCurrency Clipboard Hijackers)”,通过监控 Windows 剪贴板是否存在密币地址运作,如发现地址将会用他们控制的地址代替。除非用户在粘贴后再次检查,否则数字货币会落入受攻击者控制的账户中。

虽然此前也出现过密币剪贴板劫持器,但它们仅监控40万至60万个密币地址。而文中讨论的这款劫持器监控的密币地址超过230万个!

感染如何加载?

这种感染手段是 All-Radio 4.27 可携带式恶意软件包中的一部分。安装时,名为 “d3dx11_31.dll” 的 DLL 将下载至 Windows Temp 文件夹中,用户登录后,自动运行程序 ”DirectX 11” 会运行这个 DLL。

随后,通过 "rundll32 C:\Users\[user-name]\AppData\Local\Temp\d3dx11_31.dll,includes_func_runnded" 命令使用 rundll32.exe 执行该 DLL。

防范措施

像这种在后台运行的恶意软件难以发现,因此将杀毒解决方案更新至最新版本非常重要。另外,在发送密币之前仔细检查密币地址也是防范此类攻击的重要方法。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。