Comme la valeur de bitcoins
augmente, et leur exploitation minière devient plus difficile, il semble que
les criminels sont tournent vers l'ancienne vol à mettre la main sur eux. Il y
a une campagne de phishing ciblé actuel apparemment destinée à soulager bitcoin
utilisateurs de leur monnaie.
Le courrier de phishing prétend
provenir de Erwann Genson qui a du mal à accéder à son portefeuille. Il
remercie « David » pour offrir d'aider et comprend un lien raccourci à son
wallet.dat et le mot de passe. "Si"vous pouvez charger la clé s'il
vous plaît envoyer les BTCs à 1DxFvJ6up9jXAZ9pkUmWVdiMTWvsjgB5Ea, il exhorte.
Il ya un fil dans le Bitcoin
Forum de personnes ayant reçu ce courrier. « Regards legit, droit? »
dit mkjohnson ; ajout de "mise en garde... Jchysk le fichier
"backup.zip" contient un fichier 'password.txt' de 423,4 Ko et il
n'est pas un fichier de texte. » commente: « Oui, j'ai reçu le même courriel...
Le password.txt est un UPX compressés .exe et décompressé c'est une PE. » «
C'est une arnaque! », prévient le devthedev. "Le fichier zip contient des
logiciels espions et vous pouvez perdre toute votre BTCs, potentiellement. J'ai
reçu l'email de libellé même exacte (mais juste que mon nom est vraiment
David). »
Maintenant LogRhythm
a analysé la campagne plus en détail. Le premier giveaway big vient
dans l'en-tête-il est envoyé par l'intermédiaire de amazonses.com.
Amazonses.com services de courriel simple d'Amazon (le bit SES) et est utilisé
pour les envois de masse peu coûteux. LogRhythm croit que les escrocs ont mis
la main sur les adresses e-mail de cible « à titre de raclage populaires sites
BTC et fuites pour les adresses de messagerie. »
L'URL raccourci figurant dans
l'e-mail, supposément au portefeuille de Erwann et mot de passe, va à skodegouw
dot nl et télécharge un fichier backup.zip. « Analyser les métriques autour de
cette URL courte, » dit Greg Foss de LogRhythm, "montrent qu'un peu moins
de deux mille utilisateurs ont cliqué sur le lien depuis la campagne de
logiciels malveillants a été lancée vers 16 le 6 janvier".
Backup.zip contient un certain
nombre de fichiers qui fonctionnent ensemble. Seulement deux, appelé
Passwords.txt.lnk et wallet.dat est visibles, sauf si l'utilisateur a la valeur
« afficher les fichiers cachés. » L'attaque suppose que gens cliqueront sur
Passwords.txt.lnk premier ; mais c'est en fait un exécutable emballé, qui «
semble montrer une transaction financière quelconque, tentez probablement à
siphonner BTC de l'utilisateur à leurs comptes. »
Lorsque Logrhythm vérifié le
Backup.zip contre VirusTotal hier, seuls 8 des
48 AV moteurs il détecté comme malware. Lorsque vérifié plus tôt aujourd'hui,
cela s'élevait à 23 des 48, ce qui démontre l'importance et la valeur au
maintien des défenses AV à jour. LogRhythm poursuit son analyse pour localiser
les adresses IP associées avec les logiciels malveillants et s'attend à
présenter plus d'informations à une date ultérieure.
Pendant ce temps, les bons conseils
pour les utilisateurs de bitcoin vient de DavidT dans le Bitcoin Forum: « ne
jamais faire confiance à quelqu'un vous ne connaître avec vos bitcoins, ou
tenter d'utiliser « leur portefeuille », il va seulement être mauvais pour
vous... »