圖片來源: 

Avast

隨著加密貨幣的流行,駭客也透過提供駭客工具與破解工具的名義,做為散布惡意軟體的幌子,並透過即時通訊軟體Telegram聊天室當作主要管道。防毒業者Avast公布惡意軟體家族HackBoss,駭客利用這種工具至少偷到相當於56萬美元的加密貨幣。

為何這款惡意軟體被稱為HackBoss?原因是來自散布者所建立的Telegram頻道名稱「Hack Boss」。該頻道宣稱「提供最好的駭客軟體」,包含攻擊銀行、約會、比特幣等層面的工具,像是銀行或社群網站的破解器、加密貨幣錢包私鑰破解器,以及禮物卡產生器等。但Avast指出,Hack Boss頻道上張貼的工具全部是假的,它們都是用來從受害者電腦竊取加密貨幣的惡意軟體。

而這個Telegram頻道已經存在超過2年,且有不少訂閱者。Avast表示,該頻道自2018年11月26日創立,每個月平均會有7篇文章,且每篇文章都有約1千人次瀏覽。該頻道擁有近3千名訂閱者。

在每則推銷假破解工具或駭客應用程式的文章中,不只有檔案下載網址,還有散布者對於工具用途的說明與執行畫面截圖等,部分文章還會嵌入名為Bank God的YouTube頻道所提供的推廣影片。

一旦用戶將這些假應用程式下載到電腦執行,能看到軟體介面上存在許多按鈕,只要用戶點選其中的一個按鈕,該軟體的相關惡意功能就會隨之啟動,並將惡意酬載解密到AppData\Local或AppData\Roaming資料夾執行。為了能持續在受害電腦運作,Hack Boss也會透過竄改Windows登錄檔機碼,或是工作排程的方式,來重複執行。

究竟惡意酬載的危害為何?Avast指出,它會檢查剪貼簿的內容,是否存在加密錢包位址,一旦發現是加密錢包位址的格式,這個惡意酬載就會將位址調包,換成駭客所有的錢包位址。而且,就算是受害者察覺剪貼簿遭到監控,關閉上述的假工具,或是將惡意處理程序終止,都無法完全阻止其運作,因為有了前述的登錄檔機碼,這個惡意程式在幾分鐘內就會再度啟動。


熱門新聞

Advertisement