• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:264

Jaxx是知名的加密貨幣錢包，支援多種類型的硬幣，包括比特幣和乙太幣等，在桌面和行動平台上的下載量超過120萬。由加拿大區塊鏈新創公司Decentral所有。

至少一個星期前，Jaxx加密貨幣錢包網站被發現一個偽造版本，提供惡意連結誘騙用戶洩露保護虛擬資金專屬的「backup phrase」(用於回復並取得錢包掌握權之12個字詞密碼)。

Flashpoint的安全研究人員在接獲網路犯罪活動引起的一連串感染警告後，於8月30日發現了這問題。然而從攻擊者網域名稱的建立日期來看，該活動可能已於8月19日開始。

除了註冊可能容易與合法的Jaxx網站，jaxx[.]io以及使用Cloudflare混淆的網域名稱外，攻擊者還會逐行複製原始版本。

Flashpoint在一份報告中解釋，對於偽造變種的Jaxx網站，用戶幾乎沒有產生懷疑，因為攻擊者在將受害電腦安裝合法錢包軟體時遇到了點麻煩。

同時, 在macOS或Windows平台下，惡意軟體會以Java檔(JAR)和.NET應用程式的格式在後台默默安裝。如果有人要求提供錢包的行動版本，他們就會收到合法檔案。

Flashpoint資深惡意軟體研究員Paul Burbage說，Windows惡意軟體可以將檔案洩露到命令控制伺服器(C&C)，以及下載KPOT Stealer和Clipper，這兩個惡意軟體也在俄羅斯地下論壇上銷售。Clipper的目的是監控數位錢包地址的剪貼板，並用攻擊者控制的其他人替換它們。 

KPOT竊取器從本地驅動器吸取信息。macOS JAR檔也指向俄羅斯的犯罪者，因為它是使用俄語IDE(整合開發環境)DevelNext編譯的。Burbage表示能夠確定該偽造網站是由俄羅斯VPS提供商hostland[.]ru託管的。

當用戶運行JAR檔案時，他們會看到一條訊息，通知出現無法建立新錢包的技術問題。接下來即被引導到一個請求Jaxx錢包「backup phrase」的應用程式畫面。這實際上是解密錢包以訪問數位資金的密碼。

Flashpoint表示，當「backup phrase」被洩露給攻擊者的網路伺服器，受害者會收到另一個混合的俄語和英語錯誤訊息「Server is not available. Try again in 4 hours」。

啟動.NET應用程式的Windows用戶會獲得一個聲稱是Jaxx錢包測試版的Google Docs位址檔案連結。安裝後，惡意軟體會將本機端所有txt、doc和xls檔案傳送到C&C伺服器，相當有可能是攻擊者搜索加密貨幣錢包地址。接下來就是下載合法的Jaxx軟體、KPOT竊取程序和Clipper惡意軟體。

Flashpoint表示，Cloudflare已暫停該偽造網站服務，Jaxx也迅速採取應對偽造網站的支援行動，以保護其客戶群。Burbage指出這是針對Jaxx錢包用戶的社交工程活動，沒有任何跡象表明Jaxx軟體或其系統中存在漏洞或安全漏洞。

參考連結：

https://www.bleepingcomputer.com/news/security/cybercriminals-go-phishing-for-jaxx-wallet-users/
https://www.flashpoint-intel.com/blog/malware-campaign-targets-jaxx-cryptocurrency-wallet-users/