雖然網路釣魚仍然是基於惡意軟體基於電子郵件的攻擊中的普遍威脅，但網路犯罪分子通過新增模擬元件方法來提高其成功率。

​

​

Jaxx由加拿大區塊鏈創業公司Decentral所有，是一種流行的加密貨幣錢包，在桌面和移動平臺上的下載量超過120萬。它支援多種型別的硬幣，包括比特幣和以太坊。

​

區塊鏈安全諮詢公司 曲速未來 訊息：至少一個星期，Jaxx加密貨幣錢包網站有一個欺詐版本，提供惡意連結誘騙使用者洩露保護虛擬資金的備份短語。

該網站位於jaxx[.]ws，正在使用Cloudflare的內容分發網路，可能會使其託管服務提供商難以發現。

有安全研究人員在被網路犯罪活動引起的一系列感染提醒後，於8月30日發現了這一問題。但是，該活動可能已於8月19日開始，這是攻擊者域名的建立日期。

攻擊者希望進行隱身手術

除了註冊可能容易與合法的Jaxx網站，jaxx [.] io以及使用Cloudflare混淆的域名外，攻擊者還會逐行復制原始版本。

​

在一份報告中有解釋說，對於Jaxx網站的欺騙變種的訪問者幾乎沒有懷疑這個詭計“因為攻擊者在將受害計算機安裝合法錢包軟體時遇到了麻煩”。

​

但與此同時，Java存檔（JAR）和.NET應用程式形式的macOS或Windows惡意軟體在後臺默默安裝。如果有人要求提供錢包的移動版本，他們就會收到合法檔案。

​

聯絡

有惡意軟體研究員講過，Windows惡意軟體可以將檔案洩露到命令和控制（C2）伺服器，以及下載KPOT Stealer和Clipper，這兩個惡意軟體在俄羅斯地下論壇上銷售。

​

Clipper的目的是監控數字錢包地址的剪貼簿，並用攻擊者控制的其他人替換它們。KPOT竊取器從本地驅動器吸取資訊。

​

macOS JAR檔案也指向俄羅斯的犯罪者，因為它是使用俄語IDE（整合開發環境）DevelNext編譯的。

​

竊取錢包解密短語

當用戶執行JAR檔案時，就會看到一條訊息，通知無法建立新錢包的技術問題。

接下來，他們被引導到一個請求Jaxx錢包備份短語的應用程式螢幕。這實際上是解密錢包以訪問數字資金的密碼。

​

“備份短語然後被洩露給攻擊者的網路伺服器，而受害者收到另一個混合的俄語和英語錯誤訊息，指出”伺服器不可用。請在4小時內再試一次。

​

​

​

​

啟動.NET應用程式的Windows使用者從Google Docs位置獲取一個聲稱是Jaxx錢包測試版的檔案。

​

安裝後，惡意軟體會將所有本地TXT，DOC和XLS檔案傳送到C2伺服器，最有可能是攻擊者搜尋加密貨幣錢包地址。

該操作的下一個階段是下載合法的Jaxx軟體，KPOT竊取程式和Clipper惡意軟體。

Cloudflare暫停了對欺騙網站的服務，Jaxx支援迅速採取行動對付虛假網站，以保護其客戶群。

區塊鏈安全諮詢公司 曲速未來 表示：在與BleepingComputer的對話中，Burbage想要指出這是針對Jaxx錢包使用者的社交工程活動，沒有任何跡象表明Jaxx軟體或其系統中存在漏洞或安全漏洞。

本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司編譯，轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。