区块风豹实验室

猎豹移动区块链安全报告Ⅲ-盗取

2018-11-12 14:53:18

2017年是虚拟货币爆发的一年,虚拟货币的价格和市值飞涨,其价值被越来越多投资机构和投资者所认可,无数人在这里赚到了钱,不法分子因此也盯上了这块肥肉,想出各种各样的办法来骗投资者的钱。本文列举了一些常见的诈骗方法,希望能提醒投资者理性投资。诈骗类型一般分为钓鱼,诈骗,盗取,漏洞四种。本篇详细介绍盗取用户账号的手法。

盗取一般分为以下4种情况:
1.交易账号被盗
同上边伪造币安交易所网站类似,登录假的交易网站,账号密码被盗取。

2.钱包账号被盗
从今年年初开始,来自SecurityScorecard的研究人员发现了两个僵尸网络,这两个僵尸网络分别由ZeusPanda和Ramnit恶意软件家族驱动,主要针对的是Coinbase.com和Blockchain.info这两款加密货币钱包。
需要注意的是,当用户在访问那些受这种恶意软件感染的网站时,恶意软件能够检测到用户的访问活动,并在后台悄悄注入经过混淆处理的恶意脚本,然后修改目标页面中所的呈现内容。
如果目标站点是Coinbase的话,恶意脚本会让原网站中邮件地址和密码的输入文本域失效,并创建一个新的恶意按钮然后叠加在“登录”按钮之上。这样一来,当用户输入了登录凭证并按下所谓的“提交”按钮之后,他们会认为自己完成了登录,但此时他们的凭证信息将发送给攻击者所控制的服务器。实际上,恶意软件还会假装登录受限,并要求用户进一步完成双因素身份验证:
 

当攻击者获取到目标用户的凭证数据之后,攻击者会利用这些数据来访问用户账号,并修改相应的安全设置以便进行之后的欺诈交易。

3.直接窃取私钥   

2017年6月活跃的秘密洗牌者病毒(CryptoShuffler),可监视用户的剪切板,并对剪切板的数据进行实时匹配替换(匹配算法采用正则匹配),当中毒者进行转赠或交易时,剪切板中存放的乙方钱包地址将被替换为攻击者设置的钱包地址。

4.替换钱包地址

Claymore Miner 是一个流行的的多种代币的挖矿程序,互联网上现存了较多设备正在基于Claymore Miner挖矿。Claymore MinerWindows 版本通过 Remote management 子目录下的 EthMan.exe 文件,在3333端口上,提供了远程监控和管理的特性。僵尸网络通过渗透互联网上现存其他Claymore Miner挖矿设备,通过攻击其3333 管理端口,替换钱包地址,并最终攫取受害挖矿设备的算力和对应的 ETH 代币。