投资者当心！黑客伪造比特币交易工具投放 Orcus RAT 木马

投资者当心！黑客伪造比特币交易工具投放 Orcus RAT 木马
近年来比特币价格呈现爆发式增长，价格已逾黄金 10 倍，估值甚至超过部分国家货币，仅上周时间价格上涨一度超过 60%。如此疯狂的涨幅自然少不了被黑客组织所关注，近日安全研究人员发现，有黑客通过投放关于“ Gunbot 比特币交易机器人”的虚假广告来传播 Orcus 远程访问木马（RAT），其目的就在于窃取用户比特币。同时该木马背后的开发者还部署了一个虚假比特币论坛 bitcointalk[.]org 进行钓鱼活动。

来自 FortiGuards实验室的研究人员发现了针对热心的比特币投资者的网络钓鱼活动，有黑客组织通过发送广告邮件宣传可为用户提供由 GuntherLab 或Gunthy 开发的新的合法比特币交易机器人 Gunbot，可帮助监测不同交易平台之间的价格差异。若出现盈利的机会，软件将会根据用户此前的设定在平台之间自动买卖比特币。
研究人员表示，垃圾邮件中所提供的比特币交易机器人 Gunbot 实际上是为恶意软件Orcus RAT服务的，它并不带来相关利润反而会导致投资者遭遇更多损失。 这个带有虚假广告的钓鱼电子邮件实际上带有一个名为 “ sourcode.vbs ” 的 zip 文件附件，其中包含一个简单的 VB 脚本。当用户触发脚本时会下载一个伪装成 JPEG 图像、但实际上是 PE 二进制的文件。
“乍一看，下载的可执行文件似乎是一个良性的库存系统工具，包含很多对 SQL 命令的库存程序的引用。然而，通过进一步的分析，我们发现它是实际一个开源库存系统工具的木马化版本—— TTJ 库存系统”。研究人员表示这些黑客组织可能缺乏相关行业经验，只是使用了在别处购买的网络钓鱼组件，又或者是对方并不在意钓鱼行为被检测到，只要有用户触发了 VB脚本他们便能够得逞。

据脚本的评论表明，网络钓鱼背后的黑客无意隐瞒其行为
自 2016 年以来，恶意软件 Orcus 的开发人员一直在将其作为远程管理工具进行广告宣传，因为它具有 RAT 软件能够提供的所有功能，并且它还加载用户开发的定制插件或者Orcus 仓库中提供的插件。而Orcus 仓库中的某些插件可用于执行分布式拒绝服务（DDoS）攻击。就像其他远程访问木马一样，Orcus还具有密码检索和关键日志功能，可以窃取受害者在其设备上输入的所有内容，并且还可以实时远程执行被感染机器上的任意代码。另外，它还可以在网络摄像头上禁用指示灯，以避免提醒用户他们的网络摄像头处于活动状态，如果用户试图关闭进程则会触发系统蓝屏（BSOD），这也使得用户难以将其从系统中移除。
调查显示，该木马背后的开发商部署了一套虚假比特币论坛 bitcointalk[.]org，通过冒充 Gunbot 工具来下载恶意软件。这一伪造的比特币交易工具包含一个类似的 trojanised “ 库存系统 ” 和一个 VB 脚本。Fortinet 的研究人员猜测这个设置的小变化将会被用在另一个钓鱼活动中。
研究人员指出，该域名似乎已经注册到了 “ Cobainin Enterprises ”，并且还有其他可疑的域名注册。他们怀疑黑客在他们的恶意软件活动之间循环使用这些网站。在对 Orcus RAT 的调查中，研究人员表示 RAT 的行为实际已经超出了无害管理工具的范围，无论开发者如何辩解，这些应用程序被用于网络犯罪活动都已成事实。
相关阅读：
来自 Fortinet 的分析报告《A Peculiar Case of Orcus RAT Targeting Bitcoin Investors》
消息来源：IBTimes，编译：榆榆，审校 ：FOX
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。