徐強(qiáng)

網(wǎng)絡(luò)犯罪分子正在嘗試各種各樣的方法來(lái)將他們的“罪惡之手”伸向廣大用戶(hù)的加密貨幣錢(qián)包。研究人員發(fā)現(xiàn)，攻擊者正在利用能夠劫持瀏覽器（中間人攻擊的一種）的惡意軟件來(lái)劫持目標(biāo)用戶(hù)的在線(xiàn)賬號(hào)，并實(shí)時(shí)進(jìn)行欺詐交易，而這種攻擊技術(shù)名為WebInjects，即Web注入。

向目標(biāo)站點(diǎn)中注入惡意腳本

從2018年年初開(kāi)始，來(lái)自SecurityScorecard的研究人員發(fā)現(xiàn)了兩個(gè)僵尸網(wǎng)絡(luò)，這兩個(gè)僵尸網(wǎng)絡(luò)分別由ZeusPanda和Ramnit惡意軟件家族驅(qū)動(dòng)，主要針對(duì)的是Coinbase.com和Blockchain.info這兩款加密貨幣錢(qián)包。

當(dāng)用戶(hù)在訪問(wèn)那些受這種惡意軟件感染的網(wǎng)站時(shí)，惡意軟件能夠檢測(cè)到用戶(hù)的訪問(wèn)活動(dòng)，并在后臺(tái)悄悄注入經(jīng)過(guò)混淆處理的惡意腳本，然后修改目標(biāo)頁(yè)面中所的呈現(xiàn)內(nèi)容。

如果目標(biāo)站點(diǎn)是Coinbase的話(huà)，惡意腳本會(huì)讓原網(wǎng)站中郵件地址和密碼的輸入文本域失效，并創(chuàng)建一個(gè)新的惡意按鈕然后疊加在“登錄”按鈕之上。這樣一來(lái)，當(dāng)用戶(hù)輸入了登錄憑證并按下所謂的“提交”按鈕之后，他們會(huì)認(rèn)為自己完成了登錄，但此時(shí)他們的憑證信息將發(fā)送給攻擊者所控制的服務(wù)器。實(shí)際上，惡意軟件還會(huì)假裝登錄受限，并要求用戶(hù)進(jìn)一步完成雙因素身份驗(yàn)證。

當(dāng)攻擊者獲取到目標(biāo)用戶(hù)的憑證數(shù)據(jù)之后，攻擊者會(huì)利用這些數(shù)據(jù)來(lái)訪問(wèn)用戶(hù)賬號(hào)，并修改相應(yīng)的安全設(shè)置以便進(jìn)行之后的欺詐交易。研究人員Catalin Valeriu和Doina Cosovan解釋稱(chēng)：“在大多數(shù)情況下，攻擊者在獲取到憑證之后，需要立刻使用數(shù)據(jù)來(lái)訪問(wèn)用戶(hù)賬號(hào)。尤其是WebInjects攻擊在實(shí)現(xiàn)針對(duì)加密貨幣錢(qián)包的欺詐交易時(shí)，往往在登錄賬號(hào)之前需要完成雙因素驗(yàn)證，因此攻擊者在拿到憑證之后需要立刻響應(yīng)并獲取用戶(hù)的雙因素驗(yàn)證碼。在此之前，老版本的Zeus惡意軟件會(huì)使用Jabber即時(shí)消息軟件來(lái)告知僵尸網(wǎng)絡(luò)管理員成功接收到了用戶(hù)憑證，但這種新型的惡意軟件變種似乎使用的也是類(lèi)似的機(jī)制?！?/p>

有趣的是，當(dāng)攻擊者成功修改了目標(biāo)賬號(hào)的安全設(shè)置之后，他們還可以通過(guò)屏蔽設(shè)置頁(yè)面和錯(cuò)誤信息來(lái)確保用戶(hù)不會(huì)把設(shè)置改回來(lái)。

研究人員表示，當(dāng)攻擊者禁用了目標(biāo)賬號(hào)的多因素驗(yàn)證功能并且用戶(hù)無(wú)法訪問(wèn)設(shè)置頁(yè)面后，攻擊者就可以隨意進(jìn)行各種加密貨幣交易了。

根據(jù)研究人員對(duì)當(dāng)前惡意軟件變種的分析結(jié)果顯示，目前WebInjects還不能自動(dòng)化完成加密貨幣竊取或交易。很明顯，攻擊者現(xiàn)在的主要目標(biāo)是入侵用戶(hù)賬號(hào)并通過(guò)修改安全設(shè)置以備后續(xù)入侵。但是研究人員表示攻擊者遲早會(huì)實(shí)現(xiàn)自動(dòng)化的加密貨幣竊取，一切只是時(shí)間問(wèn)題。

這種攻擊技術(shù)還可以用來(lái)入侵Blockchain.info錢(qián)包。在這種攻擊場(chǎng)景下，攻擊者同樣需要給目標(biāo)用戶(hù)呈現(xiàn)偽造的登錄頁(yè)面。

完成登錄之后，惡意腳本會(huì)迅速初始化一個(gè)交易頁(yè)面，并用偽造的加密貨幣錢(qián)包地址替換原始的合法地址，然后修改交易的加密貨幣類(lèi)型以及金額。當(dāng)用戶(hù)完成了加密貨幣交易之后，惡意腳本會(huì)發(fā)送一個(gè)通知并告訴用戶(hù)當(dāng)前服務(wù)不可用，而此時(shí)用戶(hù)根本不會(huì)意識(shí)到自己的錢(qián)包已經(jīng)被“榨干”了。

如何保護(hù)用戶(hù)的安全？

隨著加密貨幣生態(tài)系統(tǒng)的不斷成長(zhǎng)，針對(duì)加密貨幣的惡意軟件也會(huì)隨之發(fā)展壯大。雖然本文所分析的惡意軟件變種只會(huì)對(duì)Coinbase.co以及Blockchain.info這兩款加密貨幣錢(qián)包進(jìn)行攻擊，但其他的WebInjects變種很可能會(huì)轉(zhuǎn)向其他的加密貨幣交易所。

廣大用戶(hù)可以查看自己的加密貨幣交易賬號(hào)是否可以正常訪問(wèn)安全設(shè)置頁(yè)面，是否收到了莫名其妙的多因素驗(yàn)證消息，或者是否收到了“服務(wù)不可用”的通知來(lái)判斷自己是否受到了影響。如果你覺(jué)得自己的賬號(hào)已經(jīng)被入侵，請(qǐng)立刻在其他電腦上修改自己的密碼。因?yàn)楹芏鄲阂廛浖?huì)在入侵目標(biāo)設(shè)備后實(shí)現(xiàn)持久化感染，因此同一設(shè)備很可能仍然是不安全的。