按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

CryptoAITools:針對加密錢包的惡意軟體

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2024-11-05
  • 點閱次數:2996
CryptoAITools:針對加密錢包的惡意軟體

Checkmarx安全研究團隊近期發現一個名為CryptoAITools新的惡意Python套件,這個套件偽裝成加密貨幣交易工具,但實際上具備竊取敏感資料與受害者加密錢包資產的功能。CryptoAITools透過Python Package Index (PyPI)和GitHub儲存庫進行擴散,此套件從PyPI下架之前,已經累積下載超過1300次。

Checkmarx安全研究團隊針對CryptoAITools的主要特點和發現包含:

  • 該惡意軟體採用多種社交工程策略進行散播,包括在PyPI上最初的惡意軟體套件「cryptoaitools」、偽造的Github儲存庫則是名為「Meme-Token-Hunter-Bot」、模仿合法的加密貨幣交易機器人的虛假網站(coinsw[.]app)、透過Telegram與受害者互動。
  • 使用者安裝惡意軟體後,CryptoAITools利用套件中的「__init__.py」檔,可確認目標是Windows或macOS作業系統,以執行相應版本的惡意軟體。

CryptoAITools_圖1

圖1 CryptoAITools辨別受害者的作業系統,圖片來源於Checkmarx

  • CryptoAITools將圖形使用者介面(GUI)作為社交工程策略的一部分,旨在分散受害者的注意力,同時收集有關加密貨幣的敏感資訊,包含錢包資料、瀏覽器資料及敏感系統檔案等。

CryptoAITools_圖2

圖2 CryptoAITools的使用者介面,圖片來源於Checkmarx

  • 該套件初始感染階段,透過腳本從虛假網站下載其他惡意元件,執行額外的有效負載,從而啟動多階段感染過程。惡意軟體精心設計具有說服力的加密貨幣交易機器人服務網站,搭配虛假用戶評論和訂閱者數量,試圖增加可信度。

CryptoAITools_圖3

圖3 CryptoAITools的虛假網站,圖片來源於Checkmarx

呼籲使用者在下載和安裝任何第三方套件時特別小心,應仔細檢查來源以及可信度,建議使用官方渠道,同時定期更新安全軟體,強化防護措施。

回頁首