Pages

Ads 468x60px

Monday, January 13, 2014

Bitcoin en cours ciblés campagne de Phishing

Comme la valeur de bitcoins augmente, et leur exploitation minière devient plus difficile, il semble que les criminels sont tournent vers l'ancienne vol à mettre la main sur eux. Il y a une campagne de phishing ciblé actuel apparemment destinée à soulager bitcoin utilisateurs de leur monnaie.

Le courrier de phishing prétend provenir de Erwann Genson qui a du mal à accéder à son portefeuille. Il remercie « David » pour offrir d'aider et comprend un lien raccourci à son wallet.dat et le mot de passe. "Si"vous pouvez charger la clé s'il vous plaît envoyer les BTCs à 1DxFvJ6up9jXAZ9pkUmWVdiMTWvsjgB5Ea, il exhorte.

Il ya un fil dans le Bitcoin Forum de personnes ayant reçu ce courrier. « Regards legit, droit? » dit mkjohnson ; ajout de "mise en garde... Jchysk le fichier "backup.zip" contient un fichier 'password.txt' de 423,4 Ko et il n'est pas un fichier de texte. » commente: « Oui, j'ai reçu le même courriel... Le password.txt est un UPX compressés .exe et décompressé c'est une PE. » « C'est une arnaque! », prévient le devthedev. "Le fichier zip contient des logiciels espions et vous pouvez perdre toute votre BTCs, potentiellement. J'ai reçu l'email de libellé même exacte (mais juste que mon nom est vraiment David). »

Maintenant LogRhythm a analysé la campagne plus en détail. Le premier giveaway big vient dans l'en-tête-il est envoyé par l'intermédiaire de amazonses.com. Amazonses.com services de courriel simple d'Amazon (le bit SES) et est utilisé pour les envois de masse peu coûteux. LogRhythm croit que les escrocs ont mis la main sur les adresses e-mail de cible « à titre de raclage populaires sites BTC et fuites pour les adresses de messagerie. »

L'URL raccourci figurant dans l'e-mail, supposément au portefeuille de Erwann et mot de passe, va à skodegouw dot nl et télécharge un fichier backup.zip. « Analyser les métriques autour de cette URL courte, » dit Greg Foss de LogRhythm, "montrent qu'un peu moins de deux mille utilisateurs ont cliqué sur le lien depuis la campagne de logiciels malveillants a été lancée vers 16 le 6 janvier".

Backup.zip contient un certain nombre de fichiers qui fonctionnent ensemble. Seulement deux, appelé Passwords.txt.lnk et wallet.dat est visibles, sauf si l'utilisateur a la valeur « afficher les fichiers cachés. » L'attaque suppose que gens cliqueront sur Passwords.txt.lnk premier ; mais c'est en fait un exécutable emballé, qui « semble montrer une transaction financière quelconque, tentez probablement à siphonner BTC de l'utilisateur à leurs comptes. »

Lorsque Logrhythm vérifié le Backup.zip contre VirusTotal hier, seuls 8 des 48 AV moteurs il détecté comme malware. Lorsque vérifié plus tôt aujourd'hui, cela s'élevait à 23 des 48, ce qui démontre l'importance et la valeur au maintien des défenses AV à jour. LogRhythm poursuit son analyse pour localiser les adresses IP associées avec les logiciels malveillants et s'attend à présenter plus d'informations à une date ultérieure.


Pendant ce temps, les bons conseils pour les utilisateurs de bitcoin vient de DavidT dans le Bitcoin Forum: « ne jamais faire confiance à quelqu'un vous ne connaître avec vos bitcoins, ou tenter d'utiliser « leur portefeuille », il va seulement être mauvais pour vous... »