按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

資安廠商發現一個會竊取 Windows 用戶加密貨幣的 Golang 僵屍網路

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-02-22
  • 點閱次數:1764
資安廠商發現一個會竊取 Windows 用戶加密貨幣的 Golang 僵屍網路 TWCERT/CC

資安廠商 ZeroFox 旗下的研究人員,近來發現一個新的僵屍網路 Kraken。這個僵屍網路會利用一個稱為 SmokeLoader 的後門木馬軟體,在入侵 Windows 裝置後,竊取用戶電腦上各種資訊,還會將用戶加密貨幣錢包中的資產盜領一空。

該公司是在去(2021)年 10 月起開始觀察到 Kraken 的活動;每一次 Kraken 設立一台新的控制伺服器(Command and control server),就會觀察到數百台 Windows 裝置遭駭。

在報告中,研究人員指出這個版本的 Kraken,除了會修改遭駭 Windows 電腦的登錄檔,確保該惡意軟體可以阻擋 Windows Defender 偵測並在電腦中持續常駐執行外,也能收集電腦上的各種資訊、下載並執行軟體、執行 shell 命令、截取畫面,並且竊取用戶加密貨幣錢包中的資金。

在 ZeroFox 觀察到的案例中,受害 Windows 電腦中的 Kraken 惡意軟體,在感染後多半會下載另一個叫做 RedLine Stealer 的惡意軟體,可以用來竊取用戶的密碼、瀏覽器 cookie、信用卡資訊與加密貨幣錢包資訊。

不過 ZeroFox 也指出,光是 Kraken 本身就具備竊取加密貨幣的能力,包括 Zcash、Armory、Bytecoin、Electrum、Ethereum、Exodus、Guarda、Atomic、Jaxx Library 等多種加密貨幣錢包,Kraken 都可竊取其中存放的加密貨幣。

據 ZeroFox 觀察,屬於 Kraken 駭侵者的主要錢包,每個月都約有 3,000 美金的轉入。而這些駭侵者也經常「轉移陣地」,關閉運作一段時間的控制伺服器,轉而以全新 IP 設立全新的控制伺服器,以避免遭到鎖定。

回頁首