勒索軟體Jigsaw改造再現身，這次不勒索，改當比特幣小偷

老舊的勒索病毒Jigsaw經改造後，又化身為比特幣小偷，竊取使用者的比特幣。資安業者Fortinet日前證實了，這款變身過後的Jigsaw病毒會透過更改電子錢包的位址，並重新導向到攻擊者的帳戶，來竊取比特幣。根據Fortinet官網，這款惡意程式攻擊已經成功竊取至少8.4個比特幣，大約價值6萬美元。

而此竊取比特幣的惡意程式是由Fortinet位於加拿大溫哥華的資安實驗室FortiGuard Labs在定期監控區域網路威脅時所發現，FortiGuard Labs在日本區域發現了一個不尋常的病毒樣本，在進一步分析此病毒樣本後發現，這款惡意程式不僅鎖定日本地區的使用者，而是鎖定任何持有比特幣資產的使用者。

值得注意的是，Fortinet發現這款惡意程式類似於Jigsaw勒索病毒。Jigsaw是惡名昭彰的加密勒索軟體，於2016年4月出現，此惡意程式會將使用者的檔案加密，並隨時間逐批刪除，以及增加贖金金額，受害者在時間的壓力及檔案可能被永久刪除的擔憂之下，就會乖乖支付贖金。

不過，這款惡意程式樣本的行為與勒索軟體完全不同，它不會鎖定使用者的文件並要求付款，而是會修改剪貼簿的內容，將受害者比特幣位址更改為攻擊者的位址，進而將比特幣匯入攻擊者的帳戶。

此款竊取比特幣的惡意程式仰賴現有的1萬多個比特幣位址，透過偽造合法的比特幣位址，來欺騙比特幣用戶。此惡意程式偽造的比特幣位址與原本合法的比特幣位址，在開頭與結尾的字符會相似或是相同，透過這樣巧妙的更改，來騙取受害者的比特幣。Fortinet呼籲比特幣使用者在收發比特幣時，還是要多加確認比特幣位址的正確性。

（圖片來源／Fortinet）

此外，Fortinet在GitHub上還發現了帳戶名稱為Souhardya所擁有的開源碼，會讓人聯想到這款比特幣竊取惡意程式樣本，不過，Souhardya表示，他是從一些駭客論壇借用想法，並指出這些開源碼是作為教育用途。不過，看來有些使用者用來作惡意用途。Fortinet表示，其實只要有C#程式基礎的人，利用開源碼，基本上都能自己打造一套惡意軟體。