CryptoShuffler 木马如何窃取 140,000 美元的比特币

想象有一天您决定使用比特币进行购买，例如披萨。你从披萨店的网站上复制了钱包地址，输入了所需的金额，然后点击“发送”按钮。转移成功了，但是披萨一直没有来。比萨店老板说他们从未收到过付款。这是怎么回事？不要对比萨店的人生气——这都是因为 CryptoShuffler（又名“Secret Shuffler”）。

与加密恶意软件不同，此特洛伊木马避免了爆炸性影响14万个比特币买披萨，并且尽可能无法检测到。它静静地驻留在计算机的内存中并监视剪贴板 - 用于剪切/粘贴操作的临时存储区域。

一旦 CryptoShuffler 在剪贴板上找到加密钱包的地址（这些地址很容易通过行长和特定字符区分），它将用另一个地址替换它。结果，加密货币转账确实成功了付款人指定的金额，但收款人不是披萨店，而是 CryptoShuffler 背后的入侵者。

卡巴斯基实验室对该木马的研究发现，该恶意软件不仅针对比特币14万个比特币买披萨，还针对以太坊、Zcash、门罗币、达世币、狗狗币（是的，确实如此）和其他加密货币。替换比特币钱包是木马最赚钱的活动——在本文发表时，攻击者已经窃取了超过 23 个比特币（按当前汇率计算约为 140,000 美元）。

另外在属于 CryptoShuffler 创建者的加密货币钱包中发现，它包含的金额从数万美元到数千美元不等。

这个木马花了一年多的时间才偷到钱。这种活动在 2016 年底达到顶峰，然后急剧下降，但在 2017 年 6 月 CryptoShuffler 卷土重来。

值得一提的是，受感染的计算机或手机不一定会变慢或显示勒索消息。相反，许多类型的恶意软件试图保持低调并尽可能隐蔽地运行；它隐藏的时间越长，其创作者窃取的钱就越多。

因此，我们对所有加密货币用户的建议是保持警惕并采取预防措施。我们的产品将 CryptoShuffler 检测为 Trojan-Banker.Win32.CryptoShuffler.gen，不用说，我们的产品会阻止它的所有操作。