數位貨幣 - 資安趨勢部落格

< 虛擬貨幣攻擊 > 偽裝獵人頭公司的釣魚郵件,鎖定銀行高階主管

2018 年 02 月 22 日2018 年 02 月 21 日趨勢科技 TrendMicro

在過去幾週出現許多跟加密虛擬貨幣相關的駭客或詐騙報導。最近出現的兩起事件：一起是Lazarus駭客集團的新攻擊活動，另一起詐騙則涉及一家虛擬貨幣新創公司。

首先是偽裝成獵人頭公司發送內嵌Dropbox連結的釣魚郵件。該連結包含一份香港銀行高階主管的職務描述文件,文件帶有Visual Basic巨集會掃描系統上是否有比特幣活動的跡象。然後再植入第二個為了長期資料採集和持久性而設計的病毒。

另外,虛擬貨幣新創公司 LoopX，成功地通過一系列首次貨幣發行（ICO）籌集到450萬美元的資金，並在得手後從地球表面消失了。

就跟新聞報導一樣，這兩起事件只是虛擬貨幣產業所面對眾多危險的一部分。儘管虛擬貨幣技術及大部分的實作都很有用，但因為缺乏監管加上目前的大肆宣傳，讓網路犯罪分子和詐騙者有機會來佔想跟上潮流人們的便宜。

*Lazarus攻擊比特幣持有者跟金融組織***

被稱為Lazarus的駭客集團在最近進行過一些惡名昭彰的網路攻擊（像是Sony電子郵件被駭以及對金融機構的各種攻擊），往往將目標放在能賺錢的地方 – 現在則是虛擬貨幣。因此會看到這駭客集團出現來針對比特幣( Bitcoin) 持有者（而不只是常見的金融機構）也就並不奇怪了。

這波攻擊活動會偽裝成獵人頭公司發送內嵌Dropbox連結的釣魚郵件。該連結包含一份香港銀行高階主管的職務描述文件,並帶有Visual Basic巨集會掃描系統上是否有比特幣活動的跡象。然後再植入第二個為了長期資料採集和持久性而設計的病毒。

根據報導，這波攻擊活動所用的手法跟 Lazarus之前的一些攻擊類似。不過植入病毒是新的作法，顯示該集團的惡意工具正在進化中。

目前還不清楚這波新攻擊活動的範圍或其確切的發生區域。但考慮到該集團之前攻擊的廣泛程度，加上該集團所可以運用的各樣工具和資源，可以相信這駭客集團不會受到地理因素的限制。

LoopX虛擬貨幣新創公司，首次貨幣發行（ICO）籌集到 450萬美元後從地表消失

隨著大量團體想通過虛擬貨幣風潮來取得現金，想了解所有市場上推出的新貨幣可能很難。LoopX是一家虛擬貨幣新創公司，成功地通過一系列首次貨幣發行（ICO）籌集到450萬美元的資金，而且擁有正常的網路業務（包括網站和社群媒體帳號），但似乎在拿走投資者的錢後從地球表面消失了。繼續閱讀

攻擊者利用 Struts和 DotNetNuke 伺服器漏洞,進行數位貨幣挖礦攻擊

2018 年 01 月 23 日2018 年 01 月 22 日趨勢科技 TrendMicro

最近幾個月來，惡意份子已經將數位貨幣挖礦視作可行的賺錢方式。挖礦攻擊利用使用者的電腦運算能力來挖掘各種數位貨幣，最常見的是利用惡意軟體或被駭網站。透過入侵伺服器來執行挖礦程式可以讓惡意份子得到更多的運算能力，並從非法挖礦中賺取更多利潤。

趨勢科技在最近幾週注意到針對CVE-2017-5638（Apache Struts的漏洞）和CVE-2017-9822（DotNetNuke的漏洞）的攻擊次數顯著地增加。這些漏洞的修補程式都已經釋出。這些漏洞存在於開發者常用於建構網站的Web應用程式內，所以可能出現在許多伺服器上。2017年的大規模Equifax資料外洩事件也跟Struts漏洞有關。

我們認為這些攻擊的幕後黑手是同一個，因為這些網站都指向同個網域來下載門羅幣挖礦程式，也都指向同一個門羅幣地址。這地址已經收到了30個門羅幣（XMR），以2018年1月中的匯率來看約等於12,000美元。

分析

攻擊上述漏洞的惡意HTTP請求被發送到目標伺服器。這些HTTP請求包含編碼過的腳本程式。上述漏洞被利用來在受影響的Web伺服器執行這程式。使用多層混淆技術的程式碼可以讓分析和偵測變得更加困難。Windows和Linux系統都成為了這波攻擊的目標。

一旦將混淆過的程式碼完全解碼後就會找到這波攻擊活動的最終目標。程式碼最終會下載惡意軟體：一個門羅幣挖礦程式。

圖1和2、發送到目標伺服器的HTTP請求，分別針對了Struts和DotNetNuke漏洞

繼續閱讀

< 虛擬貨幣 >價值40 萬美元恆星幣被劫

2018 年 01 月 16 日2018 年 02 月 02 日趨勢科技 TrendMicro

最近，數位加密虛擬貨幣水漲船高，網路犯罪集團紛紛開始將攻擊目標從比特幣 (BTC)、乙太幣 (ETH) 等較知名的貨幣擴大到一些新興的貨幣。最近一個遭到攻擊案例是 Stellar 恆星幣 (Lumen，簡稱 XLM,亦稱為流明幣)，駭客挾持了 XLM 錢包網站 BlackWallet.co 的 DNS 伺服器記錄。根據報導指出，駭客在截稿前已累積了將近 67 萬流明幣的不法獲利，約當 40 萬美元 (依當前 XML對美元匯率)。

據發現該攻擊的研究員 Kevin Beaumont 分析，歹徒利用程式碼注入的手法挾持了 BlackWallet.co 網域的 DNS 記錄。凡持有超過 20 流明幣的使用者一旦連上 BlackWallet.co 網站都會被重導至某個不明的錢包。

此外，駭客已開始將其 BlackWallet 帳號中的錢幣轉到另一個加密虛擬貨幣交易所：Bittrex。歹徒很可能打算在此進行洗錢的動作來掩蓋其不法痕跡。

BlackWallet 的創辦人 (orbit84) 發了一則 Reddit 貼文來警告使用者小心這起事件，並建議使用者將帳戶的錢幣轉到其他錢包。他也表示已經和 XLM 貨幣發行機構 Stellar Development Foundation (SDF) 及 Bittrex 交易所取得聯繫，並且告知這件攻擊。

日益崛起中的加密虛擬貨幣攻擊該如何防範

2017 年出現了大量的加密虛擬貨幣攻擊，這顯然是因為虛擬貨幣突然開始流行起來。今年，情況似乎沒太大改變，一月至今已經發生了多起類似的虛擬貨幣相關攻擊。

儘管許多人都已躍躍欲試想要趕搭這股虛擬貨幣風潮，但仍應該優先考量安全。尤其，目前許多交易所及錢包其實規模都不算大，因此很可能缺乏必要的安全措施來防止這類攻擊發生。至於已經投入虛擬貨幣交易企業機構來說，可透過一些防範機制來盡可能避免其網域遭到程式碼注入攻擊。

除此之外，企業也可採用全方位的資安防護來攔截含有惡意或不肖行為的網站和腳本。趨勢科技 Smart Protection Suites 和 Worry-Free™ Business Security 皆能保護使用者與企業並偵測上述威脅與相關網址。同時，趨勢科技 Smart Protection Suites 還具備高準度機器學習、網站信譽評等、行為監控、應用程式控管等功能，可有效降低這類威脅。

原文出處： Attackers Hijack DNS Entry of Stellar Lumen Wallet Application BlackWallet

延伸閱讀:
趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大！跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版防範勒索保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

【虛擬貨幣挖礦夯】黑莓機手機版網站被植入門羅幣採礦程式;北韓駭客也熱衷挖礦?

2018 年 01 月 16 日2018 年 02 月 02 日趨勢科技 TrendMicro

虛擬貨幣採礦這門生意真是越來越夯，就在上個月，星巴克證實有客戶在手機連上他們阿根廷布宜諾斯艾利斯分店的 WiFi 網路之後，被駭客用來暗中開採門羅幣。除此之外， LiveHelpNow 線上即時技術支援軟體平台所使用的一個 JavaScript 檔案也被發現遭駭客植入瀏覽器專用的 Coinhive 數位加密虛擬貨幣開採程式，目前全球有數百個網站都是 LiveHelpNow 的使用者。還有另一起發生在 The Pirate Bay (海盜灣) 網站的案例，該網站被人發現會使用訪客的電腦來開採門羅幣，當成網站的額外收入來源。

最近資安研究人員發現了一個門羅幣 (Monero) 採礦惡意程式 (趨勢科技命名為 TROJ_COINMINER.JA 和 TROJ_COINMINER.JB) 的安裝程式，而開採出來的門羅幣會傳送至位於北韓金日成綜合大學 (KSU) 內的伺服器。另外，一位 Reddit 的使用者也在「TCL通訊科技控股有限公司」所持有的黑莓機 (BlackBerry) 行動網站上發現一個門羅幣採礦程式。

門羅幣 (Monero) 挖礦惡意程式，企圖將挖礦成果傳至北韓境內的大學

這個位於 KSU 的門羅幣開採程式安裝器在安裝時，會複製一個名為「intelservice.exe」的檔案到系統上，這是虛擬貨幣採擴惡意程式的常見手法。從其程式碼看到的軟體名稱為「xmrig」，是一個專門利用 IIS 伺服器未修補漏洞來開採門羅幣的程式。

報導指出，這個惡意程式，會指示被感染的「宿主」電腦執行挖礦的電腦運算，以獲取加密貨幣「門羅幣」（Monero），並傳送到平壤的金日成大學。駭客輸入密碼KJU（有可能是金正恩Kim Jong Un的英文姓名縮寫）之後，可以獲取使用這些虛擬貨幣。

資安研究人員表示，雖然該軟體的作者是在金日成綜合大學被發現，但不代表作者是北韓人，因為金日成綜合大學會對外招生，因此有許多外國學生和講師。此外，該連結似乎也連不上，所以表示挖礦程式並無法將開採到的錢幣傳回給作者。

黑莓機官方的手機版網站含有 CoinHive 虛擬貨幣開採程式

另一方面，一位 Reddit 使用者也在貼文中指出，黑莓機官方的手機版網站含有 CoinHive 虛擬貨幣開採程式。當使用者造訪「www.blackberrymobile.com」網站時，這個挖礦程式就會使用訪客裝置的 CPU 效能來開採門羅幣，不過該網站只是目前全球受害網站之一而已。

CoinHive 也針對其服務遭到濫用而出面在 Reddit 討論串上道歉，並且表示駭客似乎是利用了 Magento 網站開發軟體 (或許還有其他軟體) 的漏洞，並且駭入了多個不同的網站。Coinhive 補充道：「我們已經將違反我們服務條款的帳號停權」。

解決方案

採用全方位的資安防護來攔截含有惡意或不肖行為的網站和腳本。趨勢科技 Smart Protection Suites 和 Worry-Free Pro皆能保護使用者與企業並偵測上述威脅與相關網址。此外，趨勢科技Smart Protection Suites 還具備高準度機器學習、網站信譽評等、行為監控、應用程式控管等功能，可有效降低這項威脅。

原文出處：Monero Miners Found in BlackBerry Mobile Site, North Korean University Server|

延伸閱讀:趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大！跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版防範勒索保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

惡意廣告暗藏採礦程式,一點就中! 重導向購物網站,用戶渾然不知

2018 年 01 月 05 日2018 年 02 月 13 日趨勢科技 TrendMicro

有用戶反應在看 Youtube 的時候，電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時，你的電腦或手機也默默的成為了不法駭客的「礦工」，幫他挖礦賺外快!

宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN)，遭受數位加密貨幣採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客，使用者一旦點選惡意廣告，它就會在背後載入 ETN 網頁採礦程式，同時將使用者重導至一個正常的購物網站以免被使用者發現。
根據 Alexa 指出，這些惡意廣告所在網站皆名列全球 15,000 大網站，意味著這些惡意網站不乏使用者造訪。

近年來，數位加密貨幣採礦惡意程式一直在不斷成長。由於數位加密貨幣的市值不斷上升、接納度也不斷提高，讓網路犯罪集團有更多理由盯上這類網路貨幣。光去年 11月就出現了多起針對不同數位加密貨幣的攻擊。而且，網路犯罪集團似乎開始將目標轉向一些較新的數位加密貨幣。趨勢科技近期發現大量針對 Electroneum 數位加密貨幣的網頁採礦程式活動。

ETN 宣稱是第一個可以使用手機開採的數位加密貨幣

英國 Electroneum 數位加密貨幣 (簡稱 ETN) 發行於 2017 年 9 月，是一種不需強大、昂貴硬體設備就能開採的網路貨幣。該公司宣稱 ETN 是第一個可以使用手機開採的數位加密貨幣，只需安裝一個名為「Mobile Mining Experience」的手機應用程式 (截稿之前，此功能仍未開放)。

儘管 ETN 才剛起步，但這並未讓它免於數位加密貨幣採礦程式的攻擊。從 12 月 14 日至今，趨勢科技一直在持續監控一些會在背後載入惡意廣告的網站。這些網站專門提供一些好康優惠給訪客，例如：hXXps://www.intactoffers.club/s/ 和 hXXps://www.fantasticoffers.club/s/ 這兩個網站即是，從其網域名稱即可看出。

使用者一旦點選惡意廣告，它就會在背後載入 ETN 網頁採礦程式，同時將使用者重導至一個正常的購物網站以免被使用者發現。繼續閱讀