看到针对Electrum比特币钱包用户的分布式拒绝服务(DDoS)攻击背后的恶意行为者正在切换到新的恶意软件加载器。 这些攻击以前是在分发活动中使用的SmokeLoader和Rig攻击工具包。
Malwarebytes Labs的研究人员估计,从Electrum的基础设施中窃取的资金已达到460万美元。 最初检测到用于发起DDoS攻击的僵尸网络只有不到100,000台受感染的计算机,但是一个监视客户端攻击电子服务器的在线跟踪器第二天发现的僵尸网络数量已超过152,000。 值得注意的是,僵尸网络仅由Windows计算机组成。
该木马ElectrumDoSMiner用于通过请求泛洪Electrum节点,被发现是通过一个新的恶意软件加载程序分发的,研究人员将其称为BeamWinHTTP(趋势科技检测为Trojan.Win32.CHAPAK.F)。 用于下载ElectrumDoSMiner的恶意二进制文件数量有数百种。
据报道,DDoS攻击是在提示用户下载伪造的更新之后发生的,该更新随后窃取了他们的加密货币。 大概是Electrum 3.3.3版,容易受到网络钓鱼攻击。 自那时以来,Electrum开发人员已经发布了3.3.4来解决此问题。
研究人员对IP地址的分析表明,亚太地区(APAC)和南美地区(尤其是巴西和秘鲁)是Electrum DDoS僵尸网络使用的受感染最多的机器。 顺便说一句,趋势科技™智能防护网络™基础结构在2019年第一季度检测到了亚洲和美洲最多的DDoS相关攻击(分别为89%和4%)。此外,僵尸网络恶意软件也不是新颖的威胁。 。 在过去的一个季度中,我们还看到了AZORult,Amadey,Vidar和SmokeLoader等恶意软件,这些恶意软件通常在僵尸网络中使用并由漏洞利用工具包分发。 防御与僵尸网络有关的攻击
互联网速度放慢可能表明僵尸网络正在使用某个系统。 我们强烈建议用户按照以下安全做法将所有连接的设备更新为最新版本,并避免意外暴露: 为防火墙启用附加保护,并使用Wi-Fi保护访问II(WPA2)安全协议。 为所有适用的设备启用密码保护。 根据最适合用户需求的功能修改默认设置,同时保持隐私和安全性不变。 定期检查DNS设置,以发现网络中任何可疑活动的指示。 用强而复杂的密码替换出厂默认密码,以避免使用蛮力或字典攻击的僵尸网络。 危害指标(IoC):
Trojan.BeamWinHTTP(检测为Trojan.Win32.CHAPAK.F):
48dcb183ff97a05fd3e466f76f385543480abb62c9adcae24d1bdbbfc26f9e5a
ElectrumDoSMiner基础结构:
178.159.37.113 194.63.143.226
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢