騙你去偷比特幣 其實是個假「神器」

• 2019 年 11 月 13 日
• 資訊

不知道大家有沒有發現，騙子總是以我們熟悉的方式行騙，卻以我們不熟悉的方式竊取資訊，總之，他們總有辦法竊取你的資訊。

“捕食者”騙局

雷鋒網 11 月 12 日消息，據外媒報道，一個新的騙局正在YouTube上展開，該騙局利用影片推廣一種工具，據稱該工具可以生成比特幣地址的私鑰。該密鑰將允許您訪問存儲在比特幣地址中的比特幣，而實際上，“捕食者”通過這個影片在悄悄竊取你的資訊。

報道稱，在這個騙局中，“捕食者”上傳的影片宣傳了一個偽造的比特幣地址私鑰生成器，該生成器可以用來竊取他人的比特幣。

上傳的影片

當用戶提取時便會包含一個setup.exe文件，其中包含一個受密碼保護的ZIP文件，該文件包含小偷可執行的捕食者。這個setup.exe文件目前有 1/71 的檢測在病毒總數上。

受密碼保護的ZIP文件

事實上， 這個setup.exe程式是一個特洛伊木馬程式，它會將文件解壓縮到。語言模板臨時文件夾為license.exe。然後license.exe文件將被執行，掠奪者小偷資訊竊取木馬將被安裝並在電腦上執行。

安裝程式

一旦運行，“掠奪者小偷”將與惡意軟體的命令和控制伺服器通訊，下載更多組件和其他惡意軟體，並將資訊發送回攻擊者。

捕食者網路流量

據稱，該特洛伊木馬可從電腦中竊取各種資訊和密碼，包括複製受害者的剪貼板、通過網路攝影機進行記錄以及從受害者處竊取文件。

何謂“捕食者”？

據卡巴斯基2月中旬的調查分析報告稱，捕食者是一種由說俄語的人開發的數據竊取器。它在俄羅斯論壇上廉價出售，並在野外被多次發現。

雖然檢測在以前的版本中是成功的，但是它的所有者通過每隔幾天生成FUD(完全檢測不到)樣本來快速適應。所有者不對受害者攻擊媒介負責，只出售建築商。只需支付少量額外費用，他們還可以為客戶創建一個管理面板。

最新的樣本暴露在他們的電報組；然而，鏈接只重定向到一個鮮為人知的反病毒聚合器，我們無法訪問它。

此外，他們還發現“捕食者”的主人非常注重商業。他們不斷更新他們的軟體，試圖擴展特性並適應客戶需求，並且在工具的公開/分析方面通常不那麼激進。一般用一些簡單的技術來混淆它的大部分程式碼。

大致的步驟如下：

在以前的版本中，“捕食者”通常使用臨時文件(*)。col格式文件)來存儲瀏覽器內容(在SQLite3資料庫中)，但是對於Edge和IE，它被硬編碼的PowerShell命令所代替，該命令將文件內容直接放入專用的存儲庫中……根據“官方”銷售頁面上的資訊，“捕食者”目前支援以下瀏覽器數據盜竊列表:

同時，“捕食者”不斷地將新軟體集成到竊取列表中，並修復bug以保持其穩定性和流行性。目前他們的版本特性為：

作為網上衝浪的一員，此時雷鋒網小編只想說小偷都在更新自己的“騙術”，我們有什麼理由不提高警惕提防被騙呢？

YouTube出事不是第一次

作為這次事件的另一主角YouTube，這已經不是第一次發生這樣的事情了。

今年 3 月，YouTube上還出現另外一個加密貨幣詐騙廣告。當時，惡意軟體版本的廣告在YouTube上偽裝成比特幣錢包Electrum的廣告。用戶點擊該廣告後，就會開始下載的EXE文件。實際上，用戶進入的是假冒網址elecktrum.org，而不是electrum.org。 

今年 5 月，資訊竊取和剪貼板劫持木馬Qulab正在通過YouTube上所謂的免費比特幣欺詐影片進行傳播。這些影片描述了一種工具，引導用戶通過影片說明中的鏈接獲得免費比特幣。鏈接將指向下載所謂的工具，實際上卻是Qulab木馬。下載後，該木馬需要安裝才能部署。除了試圖竊取用戶資訊之外，Qulab還會試圖通過掃描複製到Windows剪貼板的字元串，識別出加密地址並替換為攻擊者的地址以偷偷竊取加密貨幣。

最後，雷鋒網再次提醒大家，網上衝浪千萬條，小心謹慎第一條！