[原创]币圈小心：虚拟数字货币钱包成盗号木马新目标

发表于: 2018-5-7 16:21 2948

[原创]币圈小心：虚拟数字货币钱包成盗号木马新目标

腾讯电脑管家

2018-5-7 16:21

2948

0x1 概况

近日腾讯御见威胁情报中心监测到一批钓鱼邮件正在全球范围传播，该批钓鱼邮件携带CVE-2017-11882漏洞文档。当用户打开邮件附件中的漏洞文档时，虚拟数字货币钱包盗号木马波尼或远控木马tesla就会运行起来。

通过分析发现，此次被攻击的对象主要是制造业、批发和零售业、广告业、进出口贸易等行业的内贸、外贸、财务相关人员。此类人员的邮箱由于工作需要经常被公开在官方网站或相关论坛所以很容易被不法份子收集和利用。对国内受灾用户进行统计，发现广东、浙江、江苏等沿海省份是重灾区。

图1

（影响区域）

图2

（攻击流程图）

0x2 载荷投递

钓鱼邮件为英文编写，大致意思是让受害者查看附件文档中的内容，并进行价格确认。腾讯御界防APT邮件网关拦截到大量利用公式编辑器漏洞构造的攻击邮件，邮箱附件主要文件名为：

Appendix - Draft Tender and Specifications.doc

Purchase_Order.doc

Company Profile.doc

MOGLIX38040-01.doc

Pymnt_Adv_20180315.doc

Material requirements.doc

Promoaffiliates IO.doc

Urgent Order Rfq.doc

Order request.doc

图3（钓鱼邮件内容）

图4

（漏洞攻击文档前几行的内容）

图5

（漏洞攻击文档结尾处的内容）

0x3 木马功能分析

波尼木马：盗取浏览器、ftp、邮箱、虚拟数字货币钱包账号密码等敏感信息

Tesla木马：远控、后门、键盘记录器、桌面截屏、盗取浏览器和邮箱账号等信息

攻击邮件最终会投放上述两种木马，其主要目标是盗取中毒电脑上登录过的各种关键用户名密码及远程控制。

波尼木马会试图盗取浏览器、邮箱、FTP服务器、数字虚拟币的帐号密码

——这些密码一旦泄露，会帮助黑客进一步对企业内网实施渗透攻击。攻击FTP服务器成功后，攻击者可能使用恶意程序或文档替换FTP服务器上共享的程序或文档。企业邮箱被盗，可能导致员工身份被冒用，引发更加严重的内网安全危机。

区块链的火热，带动一大批参与比特币、以太坊币等数字虚拟币交易的活跃，这些数字财富吸引了大批攻击者。一旦数字钱包帐号密码被盗，可能造成直接的经济损失。

针对的软件所下表所示，详细技术分析报告请参考如下两篇文章。

《CVE-2017-11882漏洞新利用：下载波尼木马窃取加密货币钱包文件》

http://www.freebuf.com/column/163470.html

《“商贸信”病毒：外贸行业的梦魇》

http://www.freebuf.com/column/156458.html

浏览器：

Chrome

Chromium

ChromePlus

Bromium

Nichrome

RockMelt

Comodo

Yandex

Opera

Mozilla

Internet Explorer

邮箱：

RimArts

Outlook

Windows Live Mail

Pocomail

IncrediMail

Windows Mail

The Bat!

Foxmail

FTP软件：

FlashFXP

CuteFTP

WS_FTP

EasyFTP

FTP Now

Bullet

Proof FTP

LinasFTP

FastStone Browser

Robo-FTP

NetSarang

BlazeFtp

LeechFTP

Ipswitch

Far和Far2中的FTP插件：

SmartFTP

TurboFTP

FFFTP

COREFTP

FTP Explorer

ClassicFTP

LeapWare

EstsoftRobo-FTP

LinasFTP

My FTP

NetSarang

加密货币钱包帐号密码：

Bitcoin

Electrum

MultiBit

Litecoin

Namecoin

Terracoin

Armory

PPCoin

Primecoin

Feathercoin

NovaCoin

Freicoin

Devcoin

Franko

ProtoShares

Megacoin

Quarkcoin

Worldcoin

Infinitecoin

Ixcoin

Anoncoin

BBQcoin

Digitalcoin

Mincoin

GoldCoin

Yacoin

Zetacoin

Fastcoin

I0coin

Tagcoin

Bytecoin

Florincoin

Phoenixcoin

Luckycoin

Craftcoin

Junkcoin

监测表明，波尼木马传播量明显增长。

图6

有关Tesla木马的技术分析，可参考：

《Xtreme、Tesla木马对抗调试工具，鱼叉攻击瞄准企业一打一个准儿》

0x4 安全建议

1. 推荐企业用户使用御点终端安全管理系统（https://s.tencent.com/product/yd/index.html），御点具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。其“女娲石”防御技术，可完美防御此类漏洞所有变种的攻击。