新發現的木馬程式Efimer會透過剪貼簿盜竊加密貨幣,對於會下載BT檔而又不懂得妥善收藏seed phrase的話,就可能會被Efimer更換加密錢包的地址到受害者的剪貼簿,一點擊便會把錢送到黑客的錢包。
Efimer的散播方式
其中一個Efimer的主要散播渠道是WordPress網站,作為一個最受歡迎的內容管理系統,無論是小型博客或企業都會使用,騙徒利用沒有做好保安措施的網站安全漏洞,發文散播受感染的BT檔案。當用從被感梁網站下載BT檔案,他們會取得一個資料夾,內含看似是電影檔的.xmpeg副檔名,用戶在沒有特別媒體播放器時無法打開該檔案格式,很方便地播放器也放在相同資料夾,但這個所謂的播放器就是木馬安裝工具。
近日Efimer開始透過釣魚電郵散播,網站和域名持有人收到訛稱來自律師的電郵,虛假聲稱收件者內容侵權並要求移除,並自稱所有詳細內容在附件之內,實情其實是木馬程式,即使收件者沒擁有自己的網站,也可能收到垃圾郵件訊息附有Efimer附件,犯罪份子從之前入侵的WordPress網收集電郵地址,所以收到類似的電郵時謹記切勿打開附件。
Efimer如何盜領加密貨幣
一但裝置被Efimer感染,其中一條腳本會把自己加入到 Windows Defender的排除列表,惡意程式然後下載Tor客端用作與C&C伺服器聯絡,而且Efimer懂得存取剪貼簿搜尋seed phrase,它是一條唯一排列的字串用來存取加密錢包,木馬程式儲存它然後發送到攻擊者的伺服器,同時也會在剪貼簿尋找加密錢包地址,然後把它更換成假的地址,為免引起懷疑,假地址通常與真地址相似,結果是加密貨幣靜悄悄地轉帳到犯罪份子手中。
加密錢包中的 Bitcoin、Ethereum、Monero、Tron和Solana是主要的目標,但持有其他貨幣的用戶也不能掉以輕心,Efimer的開發者定期更新惡意程式的腳本,增加支援更多加密錢包,詳細資料可瀏覽Securelist。
誰人會有風險?
木馬程式攻擊全球使用Windows的用戶,暫時惡意程式活躍於巴西、俄羅斯、印度、西班牙、德國和意大利,但規模可以簡單地散展到任何地方,所以加密錢包的用戶和WordPress網站的持有者,以及時常在互聯網下載電影、遊戲和BT檔案的人士都會較高風險。
防範Efimer
Efimer木馬程式相當「萬事通」,既盜竊加密貨幣,也會更換加密錢包,對個人和機構都構成威脅,也能夠使用腳本入侵WordPress網站以及繼續散播自己,不過感染流程倚靠潛在受害者自己下載和打開惡意檔案,這意味著只要做好把關工作,無視可疑來源的檔案,就是對Efimer最佳的防護。同時我們也建議家庭用戶:
- 使用可靠的保安方案掃瞄惡意程式和提示打開釣魚連結
- 建立唯一的強力密碼,不要儲存在記事本內。
- 使用雙重登入驗證去登入加密錢包和網站
- 避免在不明網站下載電影和遊戲,盜版內容經常含有各類型的木馬程式,如果仍想以身犯險,更需注意副檔名,影片檔案的副檔名不會是.exe或.xmpeg。
- 不要把seed phrase儲存在純文字檔
資料來源:Kaspersky Blog
