微软警告“Cryware”信息窃取针对加密钱包的恶意软件

微软警告称，正在出现针对互联网连接加密货币钱包的威胁，这标志着在网络攻击中使用数字硬币的趋势将有所改变。

这家科技巨头将这一新威胁称为“cryware”，这些攻击导致通过向对手控制的钱包进行欺诈性转账，从而不可逆转地盗窃虚拟货币。

微软365 Defender研究团队的伯曼·恩科纳多（Berman Enconado）和劳里·柯克（Laurie Kirk）在一份新报告中表示：“Cryware是信息窃取者，直接从非托管加密货币钱包（也称为热钱包）收集和过滤数据”。

“与保管钱包不同，热钱包存储在本地设备上，可以更方便地访问执行交易所需的加密密钥，因此越来越多的威胁以热钱包为目标”。

这种攻击不是理论上的。今年早些时候，卡巴斯基透露了总部位于朝鲜的Lazarus集团发起的一场出于财务动机的运动，该运动涉及使用恶意软件瞄准加密公司，目的是从热门钱包中抽走资金。

Cryware包括以下威胁

• 加密劫持者秘密消耗目标的设备资源来挖掘加密货币
• 勒索软件利用加密货币支付赎金以避免被发现的活动
• 信息窃取者（例如，Mars Stealer、RedLine Stealer、Arkei和Raccoon）正在不断升级，以虹吸热钱包数据以及系统中存储的其他有价值信息，以及
• 剪贴簿（又名clippers），通过监视剪贴板并用攻击者的地址替换原始钱包地址，在交易过程中窃取加密货币

此类信息窃取攻击旨在提取热门钱包数据，如私钥、种子短语和钱包地址，从而允许威胁行为人发起恶意交易并将资金转移到另一个钱包。

此外，还观察到网络犯罪分子利用内存转储等技术以明文形式显示私钥，通过键盘记录捕获受害者输入的击键，或设计外观相似的钱包网站诱骗用户输入私钥。

为了缓解此类威胁，微软建议用户和组织在不交易时锁定热门钱包，断开与钱包连接的网站，避免以明文形式存储私钥，并在复制和粘贴信息时验证钱包地址的价值。

研究人员说：“Cryware标志着加密货币在攻击中的使用发生了变化：不再是达到目的的手段，而是目的本身”。