标签: 加密货币

俄罗斯加密货币交易所 Livecoin 被黑客入侵 失去对服务器的控制权

俄罗斯加密货币交易所Livecoin在平安夜在其官方网站上发布消息,声称自己被黑客攻击,失去了对部分服务器的控制,并警告客户停止使用其服务。根据社交媒体上的帖子,攻击似乎发生在12月23日到12月24日之间的夜晚。黑客似乎已经控制了Livecoin的基础设施,然后继续将汇率修改为巨大且不现实的数值。 在12月24日晚间,Livecoin管理员设法夺回部分系统的访问权之前,比特币汇率已经从常规的2.3万美元/BTC膨胀到超过45万美元/BTC,以太币从600美元/ETH增长到1.5万美元,瑞波币价格从0.27美元/XRP增长到超过17美元/XRP。 汇率被修改后,神秘攻击者就开始兑现账户,产生巨额利润。 在其网站上发布的消息中,Livecoin管理员将这一事件描述为 “精心策划的攻击,正如我们假设的那样,在过去的几个月中已经准备好了”。 “我们失去了对所有服务器、后台和节点的控制。因此,我们无法及时停止服务。我们的新闻频道也受到了影响。”该公司说。 “目前,我们部分控制了前台,因此我们能够放置这个公告,”它补充道。Livecoin现在敦促用户停止存款,并通过网站的API和移动应用程序等其他接口进行交易。 正如大多数加密货币黑客所发生的那样,一些用户认为整个黑客事件根本就是内鬼自导自演,Livecoin表示,他们已经通知了当地执法部门。 根据CoinMarketCap的数据,Livecoin被列为互联网上第173家加密货币交易所,日交易额约为1600万美元,该网站自2014年3月以来一直活跃。         (消息来源:cnBeta;封面来源于网络)

美政府只为加密货币新规提供 15 天评论期引发不满

据外媒报道,美国根据金融犯罪执法局(FinCEN)拟议的新规,政府追踪比特币交易将可能会变得更加容易。虽然政府目前开放了15天的评论期,但加密货币交易所Coinbase和电子前沿基金会(EFF)对此表示不满,因为这段时间还包括了平安夜、圣诞节、新年前夜和元旦。 据了解,这个备受争议的私人钱包法规是在美国东部时间12月18日下午4点20分被提出。根据这项新规,如果交易者通过私人钱包进行的交易金额超过3000美元那么其必须证明其就是该钱包的所有者。如果想跟其他拥有私人钱包的人做生意那么则需要告诉交易所一些非常详细的个人信息。交易所随后会被要求存储所有这些记录并在要求时提供这些记录。此外,根据拟议的规例,如果交易者在一天内的交易总额超过10,000元,那么交易所亦须上报其个人资料。 这对于加密货币来说显然是一种天大的讽刺,这种货币诞生于一个由自由主义者、无政府主义者和乌托邦主义者组成的群体,它承诺将成为一种在不可信系统中进行绝对私密交易的方式。比特币–这个世界上最大的加密货币–在2008年金融危机之后出现并作为银行的替代品,但现在这些新规定将使得加密货币交易所的行为更像是银行。跟另一项关于国际交易的规则变化相一致,这可能意味着加密货币的疯狂时代已经结束–匿名交易将更难找到。 加密货币交易所可以很容易地从美元或其他货币转移到加密货币,反之亦然,这也意味着更多的人可以接触到加密货币。然而FinCEN现在的提议却让这些交易所和在其中运营的人工作量变多,同时还将削弱让加密货币闻名的匿名性。 EFF指出,这会带来一些具体的后果。首先,在私人钱包和由交易所服务托管的钱包之间的交易中匿名变得更加困难;其次,拟议中的立法还降低了拥有私人钱包的吸引力。不过第三个问题才是真正的麻烦:包括比特币在内的一些加密货币需公开记录所有交易。这意味着,如果交易者从交易所将比特币交易到自己的私人钱包中那么必须要发送一串关于该钱包的识别信息,然后美国政府可能会获得这些信息。EFF写道,这意味着“政府可能获得了超出规定范围的大量数据。” 因此,比特币–一种旨在确保匿名性的加密货币在这些规则下将完全被置于相反的境地。当然交易者可能可以通过某些方式绕过它们。 Coinbase首席法律顾问Paul Grewal于昨日在给FinCEN的回应中抱怨了对这一新规的评论时间–“FinCEN只给公众提供了15天的评论期,这还跨越了平安夜、圣诞节、新年前夜、新年且还处于全球大流行期间–这给评论只留了极少的实际工作日。” Coinbase认为相关部门应该提供60天的审查期–这是惯例。而美财政部之所以将审查期限缩短至15天是因为它认为重大的国家安全要务意味着必须加快行动。 无论是15天还是60天的期限,美财政部似乎在试图向任何可能成为密码朋克的人传递一个信息:你无法打败现有的金融世界–你能做的只有加入它。         (消息及封面来源:cnBeta;)

EFF:美国政府正以加密货币为目标 扩大其金融监控的范围

电子前沿基金会(EFF)周一发文称,从公民自由的角度来看,加密货币最重要的一个方面是它们可以为用户提供隐私保护。但EFF担心,美国政府越来越多地采取措施破坏加密货币交易的匿名性,并将传统银行系统的广泛金融监控导入加密货币。 上周五,美国财政部金融犯罪执法网络(FinCEN)宣布了一项拟议法规,该法规将要求货币服务企业(其中包括加密货币交易所等)收集使用自助加密货币钱包或国外交易所与其客户进行交易的人的身份数据。拟议的法规将要求他们保留这些数据,并在某些情况下(例如,当一天内的交易金额超过某个阈值时)将其交给政府。 该提案似乎旨在成为在本届总统任期结束前推动通过的午夜法规,因为其15天的评论期异常短暂,且恰逢假期。该法规的作者写道,需要这个短暂的评论期来应对这些技术对“美国国家利益的威胁”,但他们没有为这一说法提供事实依据。 虽然EFF仍在审查该提案,但有几个初步的担忧。首先,该法规将意味着在自己的钱包中存储加密货币的人(而不是使用专业服务)将实际上无法与在货币服务企业存储加密货币的人进行匿名交易。该法规很可能会扼杀使用自营钱包进行现金隐私交易的能力。 其次,对于一些加密货币,如比特币,交易数据–包括用户的比特币地址–会永久记录在公共区块链上。这意味着,如果知道与特定比特币地址相关联的用户的名字,就可以搜集人们使用该地址的所有比特币交易信息。因此,拟议的法规要求货币服务企业收集与钱包地址相关的识别信息,这意味着政府可能会获得大量的数据,而不仅仅是法规声称的覆盖范围。 第三,该法规可能会阻碍更广泛地采用自托管钱包和依赖它们的技术,或者至少使这些技术难以与交易所等中介机构整合。该法规使自托管钱包用户与拥有受该法规约束的服务提供的钱包的其他用户进行无缝互动的难度大大增加。根据拟议的规则,这些托管钱包服务将不得不收集在某些情况下与其客户进行交易的自助钱包用户的某些信息。这可能会使智能合约等某些自动交易变得复杂,或者在涉及分散式交易所的场景中难以实施。尽管名字很好听,但 “钱包 “并不仅仅是个人的货币存储:它们是个人和计算系统在不依赖机构的情况下持有和发放货币的一种方式。为这些类型的交易增加摩擦,破坏了该技术在让个人控制其财务方面的重要性。它还可能会扼杀创新者创建具有广泛合法用途的去中心化金融平台的能力。 第四,虽然拟议的规则旨在简单地将涉及现金交易的现有法规适用于加密货币,但它们忽视了这些数字金融工具的存在部分是为了提供与传统现金相同甚至可能更多的金融隐私和匿名性。在这方面,拟议的法规是美国政府将传统银行系统的金融监控扩展到加密货币的更大令人不安的趋势的一部分。这项提案是在司法部公布其加密货币执法框架两个月后提出的,该框架非常清楚地表明,司法部希望破坏加密货币用户匿名交易的能力。 框架指出,仅仅使用Zcash和Monero这样的隐私币就“表明可能的犯罪行为”。框架还表示,操作混乱的人使加密货币交易更难追踪,可能要承担洗钱的刑事责任。金融监管机构,就像美国国家安全局一样,显然怀疑任何试图保护自己金融隐私的人都在做一些非法的事情。 该框架还针对去中心化交易所。去中心化交易所通常是一种开源软件,允许人们在没有其他方参与的情况下直接相互交换加密货币。司法部表示,这些项目必须向FinCEN注册,并且必须 “收集和维护客户和交易数据”,否则将受到民事和刑事处罚。 今年其他令人关注的事态发展包括:第五巡回法院决定,执法部门不需要获得搜查令就可以从加密货币交易所获得金融交易数据,以及FinCEN提议将机构必须收集和存储交易数据的门槛从3000美元降至250美元(加密货币或法币),以履行 “Travel Rule “义务。 这些发展是对私人在线交易能力的攻击,并试图将传统银行系统的广泛金融监控扩展到加密货币。金融记录包含了人们个人生活、信仰和所属机构的敏感信息。尽管如此,法院和立法者还是允许对传统银行系统进行广泛的无证金融监控。的《银行保密法》要求银行保存财务记录,因为这些记录对调查很有用,1976年,最高法院(在U.S. v. Miller案中)允许政府在没有搜查令的情况下获取银行客户的数据。EFF对美国政府试图将这种监控扩大到包括加密货币交易感到担忧。 加密货币之所以重要,还因为它能抵御审查。许多传统的金融中介机构进行了任意的金融审查,切断了成年人社交网络、成年人书商和有争议的网站对金融机构的访问,即使这些服务没有违反法律。 美国监管机构最近的行动,包括这次新的规则制定建议,有可能破坏点对点技术提供的隐私和公民自由保护。该规则制定要求公众在2021年1月4日前提出意见。EFF希望公民自由团体和希望保护其金融隐私的个人能够提交反对这一规则提案的意见,尽管事实上,部分原因是这一突然的截止日期。       (消息来源:cnBeta;封面来源于网络)

2021加密犯罪报告:新冠导致出货延迟 竞争导致暗网市场洗牌

从臭名昭著的丝绸之路开始,暗网市场就一直备受关注。在 2013 年的鼎盛时期,在所有比特币活动中暗网占据了将近 20%。虽然随着时间推移它在整体加密货币活动中比例减少,但由于加密货币的蓬勃发展暗网生态系统也得到了快速的发展。 在 Chainalysis 公布的《2020加密犯罪报告》中,在 2019 年整个暗网市场实现了大约 8 亿美元的加密货币收入,活跃的独立市场规模拥有 49 个。而在最新公布的《2021加密犯罪报告》中,暗网市场有了较大的改变。虽然暗网市场总收入已经超过 2019 年,但是购买的总数以及可能的用户规模已经大幅下降,这表明有更少的人购买了更多的加密货币。而活跃市场数量也大大减少,几个著名的市场已经关闭,而新市场几乎没有开辟。 那么为什么会这样呢?有人认为持续的 COVID-19 新冠疫情是最直接的原因。正如我们下文探讨的那样,新冠疫情的流行让全球的邮政系统紧张,导致很多暗网市场供应商的传输失败或者延误。而专家认为另一个重要原因就是网络执法力度的增强,正在让暗网市场生态从散户整合为一个大参与者。 在美国开始因新冠疫情而实施封锁三周之后,该报告检测了疫情对暗网市场活动的影响。结果发现在比特币以及其他加密货币的价值急剧下跌之后,暗网市场的交易活动有所下降。 在我们的发现中值得注意的是,到目前为止,暗网市场活动似乎不受比特币市场活动的影响。比特币价值的波动一直很普遍,很少反映到暗网市场消费者的购买活动中。不过当美国启动第一轮封锁之后,伴随着比特币在 3 月中旬开始下跌,暗网交易活动度也开始下跌。 但是事实证明,这种改变只是暂时的。从5月左右开始,暗网市场收入恢复到之前的状态,不再与比特币的价格同步变动。自那时以来,暗网市场的每月收入一直稳定增长,除了9月和11月的小幅下降外,这在很大程度上与季节性趋势保持一致。 凭借这些最新发展,2020年的整个暗网市场收入已超过2019年,仅剩一个月了。但是尽管总收入可能不会改变,但其他数字表明,暗网市场可能会面临艰难时期。 上图显示了按年计算的暗网市场总收入以及向暗网市场转移的总数,我们可以使用这些粗略数来粗略估计单个客户和购买的数量。有趣的是,我们看到虽然收入已经超过了2019年的总和(再次,还有一个月的余地),但向暗网市场的转移总额仅略高于900万,远低于达到2019年的总和超过1200万的速度。 数字显示,与2019年相比,2020年的客户购买量减少,但每次购买的金额更大。这可能表明,临时购买者或购买个人用途药物的人正在从暗网市场转移,而购买数量较大的人-要么个人使用或出售给他人-正在购买更多商品。这也可能意味着在不确定的情况下,一些临时买家已经开始下达更大的订单以囤积。         (消息来源:cnBeta;封面来源于网络)

加密货币交易所 Liquid 确认遭遇黑客攻击

加密货币交易所Liquid已确认遭到黑客攻击,它仍在调查受影响的范围有多大。Liquid首席执行官Mike Kayamori在博客中表示,这次黑客攻击攻击发生在11月13日,在攻击当中黑客获得了公司域名记录的访问权限,使得黑客控制员工的电子邮件账户,随后入侵了公司的网络。 Kayamori表示,虽然加密货币资金已经 “入账”,但黑客可能已经访问了公司的文件存储。Liquid认为,黑客有能力从用户数据库中获取个人信息,如客户的电子邮件、姓名、地址和加密密码等数据。加密货币交易所Liquid表示,它正在继续调查,如果黑客获得了用户向交易所提交的用于验证身份的文件,如政府颁发的身份证、自拍照或地址证明,这可能会使用户面临身份被盗风险,或进行有针对性的攻击。 Liquid在一封电子邮件中告诉用户,为了安全起见,他们应该更改密码。通常,针对公司网络基础设施的攻击会利用弱小或重复使用的密码,这些密码被用来注册公司的域名。通过闯入并更改这些网络设置,攻击者可以在无形中控制网络,并获得对电子邮件账户和系统的访问权,而通过其他攻击途径则要困难得多。 鉴于入侵可能带来巨大经济回报,加密货币初创公司和交易所是黑客的高价值目标。2018年,Nano在一次黑客事件中被盗走1.7亿美元Binance和Coincheck在黑客入侵后分别损失了4亿美元的巨额资金,Coinrail在一次黑客攻击后损失了4000万美元,Bithumb损失了3000万美元。 加密货币交易所Liquid成立于2014年,并声称在过去的一年里促成了500亿美元的加密货币交易。       (消息来源:cnBeta;封面来自网络)

黑客盗取了加密货币服务 Akropolis 价值约 200 万美元的代币

加密货币借贷服务Akropolis表示,一名黑客利用“闪电贷 ”攻击其平台,盗取了价值约200万美元的Dai代币。攻击发生在上周,Akropolis管理员暂停了平台上的所有交易,以防止进一步的损失。 Akropolis表示,虽然它聘请了两家公司对事件进行调查,但两家公司都无法确定该漏洞所使用的攻击载体。尽管如此,该入侵事件被认定为 “闪电贷 ”攻击。 “闪电贷 ”攻击已经成为针对运行DeFi(去中心化金融)平台的加密货币服务的常见攻击,这些平台允许用户使用加密货币借款或贷款,投机价格变化,并赚取类似加密货币储蓄账户的利息。当黑客从DeFi平台(如Akropolis)借出资金,但又利用平台代码中的漏洞逃脱贷款机制并将资金带走时,就会发生闪电贷攻击。 自今年2月初以来,这些攻击的数量一直在增加,其中最大的一次闪电贷攻击发生在10月份,当时黑客从DeFi服务Harvest Finance盗取了价值2400万美元的加密货币资产。 好消息是,Akropolis表示,它已经确定了攻击者的Ethereum账户,这将使它能够跟踪资金在区块链上移动的情况。DeFi平台表示,它已经通知了主要的加密货币交易所关于黑客和攻击者的钱包,试图冻结资金,防止攻击者将资金洗成其他形式的加密货币,失去调查人员的踪迹,并兑现资金。 Akropolis表示,目前正在探索如何补偿用户的损失。       (消息及封面来源:cnBeta)

黑客偷走 10 亿美元比特币 7 年未花 美司法部缴获最大规模加密货币

本周,联邦特工缴获了价值超过10亿美元的比特币,这些比特币与已经失效的网站“丝绸之路”有关,该网站是黑暗网络上的一个犯罪市场。这可能是美国司法部缴获的规模最大的加密货币。法庭文件显示,司法部表示,将没收这69370枚比特币(每枚比特币的价值超过1.5万美元)。这些比特币曾属于丝绸之路的创始人罗斯·乌布里希(Ross Ulbricht),他于2015年被判处终身监禁。 比特币是丝绸之路上唯一允许使用的货币。当局称,比特币被用于贩毒、出售枪支和洗钱等犯罪交易。 联邦调查局于2013年10月关闭了丝绸之路,并逮捕了乌布里希。2015年2月,他被判多项罪名成立,包括洗钱、贩毒和电脑黑客。 “丝绸之路是当时最臭名昭著的网络犯罪市场,”美国检察官戴维•安德森(David Anderson)表示,“2015年成功起诉丝绸之路创始人留下了一个价值数十亿美元的问题——钱都到哪里去了?今天的罚没至少部分地回答了这个悬而未决的问题。这些犯罪收益中有10亿美元现在在美国。” 该文件称,缴获的比特币是2013年由一名黑客从丝绸之路偷走的,在法庭文件中,这名黑客的身份仅为“Individual X”。被盗的比特币价值约1400万美元,相当于每枚比特币200美元多一点。但此后比特币的价值飙升,如今已接近10亿美元。 文件称乌布里希知道了Individual X的在线身份,并威胁Individual X,要求在钱被盗后不久归还加密货币。Individual X没有返回加密货币,而是保留了它,并且一直没有花掉它。文件显示,Individual X周二同意联邦政府没收这笔资金。     (消息及封面来源:新浪财经)

Brave 浏览器因私自插入返利代码而遭到猛烈抨击

基于 Chromium 开发的 Brave 浏览器,近日曝出了自动插入返利代码的问题。当用户搜索加密货币企业时,将被添加重定向代码以获得佣金。Decrypt.co 报道称,币安、Coinbase 和 Trezor 都在其列。事发后,Brave 首席执行官已经作出道歉,承诺今后不会再这么做,且用户能够在 brave://settings 设置页面禁用相关代码。 Twitter 网友 Yannick Eckl 率先曝光了此事,作为一款宣称对加密友好的隐私优先浏览器,Brave 此举确实对自己的声誉造成了极大的损害。 与该公司此前遵循的“选择加入”原则不同,Brave 从未向其 1500 万越活用户解释过此事。即便浏览器上的广告是可选的,且会向任何观看过的用户支付加密货币。 随着 JRR Crypto 高管 Dimitar Dinev 挖掘出了 Brave 重定向代码的更多细节,此事终于引发了一场强烈的舆论风暴。 GitHub 上托管的代码显示,该浏览器还会将用户重定向至 Ledger、Trezor 和 Coinbase 等网站。 最终,Brave 首席执行官兼联合创始人 Brendan Eich 也在 Twitter 上向公众致歉,声称该问题目前“已被修复”,且保证不会再发生类似的行为。 不过截止发稿时,Brendan Eich 尚未回应 Decrypt.co 的进一步置评请求。     (稿源:cnBeta,封面源自网络。)

Souleman 矿工利用永恒之蓝漏洞攻击企业,获利超 27万元

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/6mTvjKUesPS0MrpoIW5_5Q 一、概述 腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现,攻击时利用永恒之蓝漏洞在内网攻击传播,攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时,会结束其他挖矿木马进程以独占资源。 对SoulemanMiner使用的下载服务器上的样本进行分析,还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。AZORult会从浏览器、邮件和各类客户端软件中获取登录密码并上传至远程服务器,Bitcoin-Grabber或将剪切板中的比特币、以太坊币、莱特币、门罗币等多个类型的数字钱包地址进行替换,企图在用户进行交易时盗取相应的数字货币。 通过公开的钱包地址查询交易历史记录,发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。 二、安全建议与解决方案 腾讯安全专家建议企业用户尽快修复永恒之蓝相关安全漏洞,避免挖矿木马利用漏洞在局域网内扩散;网管可以关闭内网暂时非必要的端口(如135、139、445、3389等),减少网络攻击面;使用腾讯T-Sec终端安全管理系统及腾讯电脑管家均已支持对SoulemanMiner的查杀。企业用户还可使用腾讯安全系列产品对网络流量进行检测,及时发现内网挖矿行为。 三、样本分析 SoulemanMiner在失陷机器解压new3.exe释放 “双脉冲星”、“永恒之蓝”漏洞攻击工具,以及1×64.dll、1×86.dll、2×64.dll、2×86.dll、3×64.dll、3×86.dll共6个Payload文件。 攻击包安装完成后,启动rundll.exe开始攻击。该文件采用Pyinstaller打包生成,我们利用开源工具pyinstxtractor.py解压文件,然后利用Easy Python Decompiler对解压出的pyc文件进行反编译得到rundll.py。 rundll.py获取本机IP地址。 针对本机IP的同A、B网段(遍历C、D网段)地址进行445端口扫描,保存结果至Result.txt。 使用“双脉冲星”、“永恒之蓝”漏洞攻击工具进行攻击。 漏洞攻击成功后,针对三组不同的IP地址,植入不同的Payload文件。 1.挖矿 Payload在目标系统执行后,分别下载x.rar、y.rar、z.rar,保存至c:\programdata\lsass4.exe 并运行。下载地址如下: http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar x.rar、y.rar、z.rar是利用NSIS生成的可执行文件,通过解压可以看到 Parameters.ini里面是配置信息: Processlist.txt是检测运行环境是否存在监控进程: taskmgr.exe ProcessHacker.exe perfmon.exe procexp.exe procexp64.exe procexp32.exe resmon.exe autoruns.exe procmon.exe aida64.exe rpexplorer.exe anvir.exe AutoCloseExe.txt是需要杀死的竞品挖矿进程名单,包括WannaMiner等: C:\Windows\System32\SearchIndexer.exe C:\Windows\System32\WUDFHost.exe C:\Windows\Fonts\runhost.exe C:\Windows\debug\winlogond.exe C:\Windows\System32\dllhost.exe C:\Windows\System32\msdtc.exe C:\Windows\System32\ctfmon.exe C:\Windows\System32\TrustedHostex.exe C:\Windows\System32\SearchProtocolHost.exe C:\Windows\System32\wuauclt.exe C:\Windows\YZebx\Xs.exe C:\Windows\odeZP\dW.exe C:\Windows\dwVSF\TW.exe C:\Windows\AppDiagnostics\wininit.exe C:\Windows\AppDiagnostics\svchost.exe C:\Windows\SysWOW64\InstallShield\setup.exe C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64\csrss.exe C:\Windows\Fonts\Mysql\svchost.exe C:\ProgramData\clr_optimization_v4.0.30318_64\svchost.exe C:\Windows\svchost.exe C:\Windows\SysWOW64\svchost.exe C:\Windows\Fonts\Mysql\puls.exe C:\Windows\System32\WUDFHostex.exe C:\Program Files\Microsoft Security Client\MpCmdRun.exe C:\Windows\Fonts\d1lhots.exe C:\Windows\kkOqZ\wM.exe C:\Windows\SysWOW64\Application.exe C:\Windows\XIPNL\EM.exe C:\Windows\MicrosoftUpdateLink.exe C:\Windows\System32\dllhostex.exe 从NSIS脚本中可以看到,样本执行后会释放conhost.exe等文件到C:\Windows\System32\drivers\目录下,然后将conhost.exe安装为服务“WinsockSvc”启动。 conhost.exe会检测是否存在Processlist.txt的监控进程,杀死AutoCloseExe.txt中的竞品挖矿进程,然后从Parameters.ini配置的服务器地址下载挖矿木马http[:]//178.32.53.209/xm64.zip。 下载得到由开源挖矿程序XMRig编译而成的挖矿木马。 2.窃密 分析发现,SoulemanMiner使用的服务器185.228.83.153还传播除挖矿外的其他木马http[:]//185.228.83.153/st.exe,st.exe通过自解压释放自身到全局启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\。 st.exe是采用Delphi编写的窃密木马AZORult,运行后会窃取以下信息加密后发送至C2服务器:http[:]//soulemanivsusa.xyz/32/index.php 窃取保存在浏览器中的各类密码; 窃取数字加密货币钱包; 窃取浏览器历史记录; 盗取网站cookie; 窃取电子邮件登陆账号密码; 窃取Telegram、Steam密码; Skype密码和聊天记录; 获取中招机器屏幕截图; 执行自定义命令 3.盗取数字货币 通过服务器下载的另一样本http[:]//185.228.83.153/777.exe,自解压得到svhosts.exe,同样安装到全局启动目录下。svhosts.exe是采样C#编写的数字货币盗取程序(也称剪切板劫持木马)Bitcoin-Grabber。 Bitcoin-Grabber实时监测获取电脑剪切板内容,通过正则匹配发现其中的数字加密货币地址,并将匹配到的不同类型钱包地址替换成木马的钱包地址,以便在用户进行转账时盗取数字货币。 盗取数字货币用的钱包地址如下: 通过公开的矿池、交易历史可查到的信息,该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。 IOCs IP 116.203.240.6 178.32.53.209 185.228.83.153 Domain klicoverof.world handler1.soulemanifight.club 3.soulemanifight.club 2.soulemanifight.club 1.soulemanifight.club 1.blackhohol.online 2.blackhohol.online km1.maxvarlamoff.club km2.maxvarlamoff.club km1.koronavirusfuck.xyz km2.koronavirusfuck.xyz km2.dancingblack.online 1.novichok.xyz 2.novichok.xy 1.soulemanivsusa.xyz 2.soulemanivsusa.xyz soulemanivsusa.xyz Md5 2662452d7f77c434b185040575c87932 fdae88d3a3e21ab29f0e4390f960543c fb59c96176c1453cd2a05eadb8368026 a8f757a0a871b2aaca3535f16f0c8b66 b9ae13778f36534ddfeccf7329f4f62e 04d04cbd71f45ad36a03fd9a3a761055 1ed7e0fdd1e072cb92b8115579aac391 8c50dabe5dd305d1f6d28f5164075ff7 0f38c4b35c4f830ba14d9237bf82af56 6fa76c8b29b4da063766d2e6df001ed6 04ac52778d6871d24a5dc957a41d84fd 4cf0ff9887c3e7de5d4c0ed9674d2903 67a7c1c24de0026b9d367fc5f0048a0e 6fa76c8b29b4da063766d2e6df001ed6 8ab5c496b795f12526e7ae0bf26365fb URL http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar http[:]//185.228.83.153/new3.exe http[:]//3.soulemanifight.club/z.rar http[:]//185.228.83.153/xm32.zip http[:]//178.32.53.209/777.exe http[:]//185.228.83.153/777.exe C2 http[:]//soulemanivsusa.xyz/32/index.php

Eleethub:使用 Rootkit 进行自我隐藏的加密货币挖矿僵尸网络

Unit 42研究人员发现了一个新的使用Perl Shellbot的僵尸网络活动,旨在挖掘比特币,同时使用专门制作的rootkit以避免检测。 该僵尸网络传播的方式是将一个恶意的shell脚本发送到一个受攻击的设备,然后该设备下载其他脚本。在受害者设备执行下载的脚本之后,它开始等待来自其命令和控制(C2)服务器的命令。尽管Perl编程语言因其广泛的兼容性而在恶意软件中流行,但这种僵尸网络不仅可能影响基于unix的系统,还可能影响使用Linux子系统的Windows 10系统。 本次发现的新活动使用了一个名为libprocesshider.so的共享库来隐藏挖掘过程,并且用一个专门制作的rootkit来避免检测。该恶意活动幕后者使用“Los Zetas”这个名字,暗指一个墨西哥犯罪组织,该组织被认为是该国最危险的贩毒集团之一。尽管如此,他们实际上不太可能是这个犯罪组织的一部分。此外,这个僵尸网络还连接到最大的IRC(Internet中继聊天)网络之一的UnderNet,讨论了包括恶意软件和网络犯罪在内的各种主题。 而且,僵尸网络在被发现时仍在开发中。但是,重要的是在攻击者危害更多设备之前阻止它。我们观察到,僵尸网络越来越多地使用xmrig和emech等已知的挖掘工具,在受害设备上挖掘比特币。这些工具已经在最近的挖矿活动中被检测到,例如VictoryGate和Monero mining开采了超过6000美元的利润。我们估计,如果Eleethub僵尸网络在一到两年的时间内扩张,它也可以赚取数千美元。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1214/     消息来源:PaloAltoNetworks, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接