Vor kurzem hat 360 Security Center einen neuen Typ von CryptoMiner entdeckt, der sich aktiv ausbreitet. Der Trojaner überwacht die Aktivitäten in der Zwischenablage, um festzustellen, ob sie eine Kontoadresse einer Kryptowährung wie Bitcoin enthält. Er verändert die Empfängeradresse und setzt seine eigene ein, um einen Diebstahl zu begehen, wenn der Anwender mit Kryptowährung bezahlt. Diese Art Trojaner wurde in einer Woche über 300.000 Mal erkannt. Wir haben ihn „ClipboardAddressMonitor“ genannt.
Analyse
TDie Eingangsfunktion des Trojaners ist ein Lader, der den Inhalt der Zwischenablage überwacht.
Die Funktion des Clipboard-Laders:
Wenn er die Adresse eines Ethereum-Wallets als Inhalt erkennt, tauscht er die Adresse in der Zwischenablage aus.
Die Ersetzungsfunktion:
Die Austauschadresse lautet „0x004D3416DA40338fAf9E772388A93fAF5059bFd5“. 46 erfolgreiche Transaktionen insgesamt.
Die letzten Transaktionen sind:
Wenn die Adresse nicht zu Ethereum gehört, prüft die Malware, ob es eine Bitcoin-Adresse ist und die Adresse mit der Ziffer 1 oder 3 beginnt.
Wenn das Datum vor dem 8. des Monats liegt, wird die Adresse durch „19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL“ ersetzt. Andernfalls wird „1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1“ als Adresse benutzt.
Der Trojaner hat die Bitcoin-Adresse fünf Mal erfolgreich durch „1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1“ ersetzt.
Der aktuelle Marktpreis von 0,069 BTC entspricht ungefähr 500 US-Dollar.
Die Einnahmen aus der anderen Adresse:
The income from another address:
Erinnerung
In letzter Zeit haben wir festgestellt, dass sich viele CryptoMiner-Trojaner in freier Wildbahn ausbreiten. Wir empfehlen Anwendern dringend, bei der Installation neuer Anwendungen Antivirus-Software einzusetzen. Anwendern wird auch empfohlen, gemeinsam mit 360 Total Security einen Virenscanner laufen zu lassen, um nicht zum CryptoMiner-Opfer zu werden.