• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:309

在Download[.]com被發現用以竊取Bitcoin虛擬貨幣的惡意軟體，能將受害者帳戶與攻擊者帳戶互換。

ESET研究人員在download[.]cnet[.]com上發現了三個有木馬功能的應用程式，該連結根據全球知名的網站流量排名Alexa，排名世界第163位。
根據最近的一篇部落格文章，截至3月13日，估計攻擊者設法竊取了相當於80,000美元的金額。
文章表示，該惡意軟體自2016年5月2日以來一直託管在Download[.]com，並且它已從該網域的原始創建者CNET下載總計超過4500次。
研究人員警覺到該惡意軟體，是因為在Reddit有用戶張貼了一張照片，顯示他們試圖複製和貼上他們的Monero錢包地址時，突然收到通知指出該地址因無效而被拒絕。
惡意軟體的來源是從Download[.]com下載有木馬功能的Win32 Disk Imager應用程式，研究人員檢查發現，惡意軟體會攔截複製貼上到剪貼簿中的錢包地址，並將其替換為攻擊者自己的硬編碼(hard-code)比特幣錢包地址。
雖然研究人員發現大約在2017年3月期間Download[.]com上的該惡意軟體已經被移除，仍然建議那些受影響的人可以透過刪除下載的反安裝程序，刪除惡意資料夾並從密鑰中刪除ScdBcd註冊表值來清理受感染的系統。

參考連結：

https://www.scmagazine.com/eset-researchers-found-three-trojanized-applications-hosted-on-downloadcnetcom-163th-most-visited-site-in-the-world/article/751114/
https://www.welivesecurity.com/2018/03/14/stealing-bitcoin-download-com/