Nul
De officiële Jaxx cryptocurrency portemonnee is verwikkeld raken in het centrum van een uitgebreide phishing-regeling ontworpen voor de afvoer van de gebruiker portemonnee.
De legitieme Jaxx Vrijheid domein is gelegen op jaxx .io. Helaas, scam kunstenaars onlangs zag een kans voor criminele winst te danken aan het simpele mailadres en een website gelanceerd met een vergelijkbare naam jaxx .ws.
Volgens Vlampunt onderzoekers, de vervalste domein wordt een aantal aangepaste en commodity-malware payloads met het einddoel van het stelen van de portemonnee van referenties en het legen van de rekeningen van cryptocurrency.
TechRepublic: BlackBerry ambitieuze doel: het Beschermen van alles, van smartphones tot steden
De Jaxx cryptocurrency wallet ondersteunt Bitcoin (BTC), Ethereum (ETH), en meer dan een dozijn alt-munten. De portemonnee is gedownload meer dan 1,2 miljoen keer, dat is een groot zwembad van de slachtoffers voor bedreiging actoren tracht te profiteren van de populariteit van de software.
Hoewel het nog onbekend hoe de slachtoffers werden gelokt naar de valse website, of door zoekmachine vergiftiging of phishing e-mails — de vervalste website, die het gebruik van Cloudflare ‘ s content delivery network, was een “lijn per lijn” carbon copy van de ware Jaxx domein.
Echter, de valse domeinnaam gewijzigd download links die doorgestuurd slachtoffers naar een server gestuurd door de aanvallers.
“Het moet worden opgemerkt dat dit vooral een social engineering-aanval en niet om een kwetsbaarheid in de Jaxx van toepassing, website of andere domeinen die eigendom zijn van Decentrale, een Canadese blockchain opstarten, dat biedt Jaxx,” de onderzoekers gezegd.
De frauduleuze domein, die lijkt te zijn geweest in de werking van 19 augustus, werd gebruikt om richten zich vooral op Microsoft Windows en macOS gebruikers.
De fraudeurs ging zo ver om te zorgen voor de legitieme Jaxx portemonnee software worden gedownload en geïnstalleerd vanaf de nep-website, maar het pakket kwam met een geheime malware lading.
Wanneer macOS gebruikers gedownload portemonnee software van de kwaadaardige domein, wordt het pakket omvatte een aangepaste, kwaadaardige Java Archive (JAR) – bestand en een .NETTO-applicatie, die de instructies voor de exfiltration van alle desktop-bestanden naar de cyberattacker de command-and-control (C2) – server.
Bovendien, de lading zou het uitvoeren van het downloaden van extra software in de vorm van KPOT Stealer en Clipper malware, beide zijn te vinden in de russische taal op basis van ondergrondse forums.
KPOT wordt gebruikt om informatie te stelen van harde schijven, terwijl de Clipper monitoren systeem klemborden voor de portefeuille adressen. In het laatste geval, als de portemonnee adressen zijn gevonden, worden ze verwisseld voor adressen gecontroleerd door de aanvallers.
“Door het veranderen van deze adressen in het klembord, slachtoffers niet let op de gewijzigde ontvanger na het kopiëren en plakken van deze lange alfanumerieke adressen tijdens het versturen van betalingen,” Flashpoint zegt.
Zie ook: Dit zijn de tekenen van een frauduleuze ICO
Wanneer het Jar-bestand is uitgevoerd — die is opgesteld in een russische taal IDE genoemd DevelNext, hetgeen duidt op een koppeling naar het land — slachtoffers ziet een bericht in zowel het russisch en het engels, en die zegt, “Tijdelijk door technische problemen op de server, kunt u niet maken van een nieuwe portemonnee.”
Het slachtoffer wordt vervolgens doorgestuurd naar een scherm die verzoeken hun Jaxx wallet backup zin, een essentiële voorwaarde is om het compromitteren van de portefeuille-software en-decodering. Deze uitdrukking is vervolgens meegenomen naar de C2-server en het slachtoffer krijgt een andere foutmelding.
Windows slachtoffers zijn een gegeven .ZIP-archief met een kwaadaardig .NET binair die downloads van dezelfde kwaadaardige lading. Mobiele downloaders, werden echter gespaard en compromis zou worden teruggeleid naar de rechtmatige Jaxx domein.
Gewapend met de sleutel van gebruiker portefeuilles, de dreiging actoren zou in staat zijn te infiltreren in de software en stelen cryptocurrency. Het is echter niet bekend hoeveel slachtoffers er kunnen ten prooi gevallen aan de phishing-regeling, terwijl het actief was.
CNET: Cryptocurrency industrie opent lobbyfirma te verkopen DC op de blockchain
Jaxx ondersteuning van de teams in kennis waren gesteld door Vlampunt van de campagne phishing en Cloudflare heeft ook geschorst diensten aan de frauduleuze domein.
“Deze malware campagne geeft aan dat cybercriminelen kunnen gaan tot het uiterste om sociaal ingenieur een organisatie die klanten in de installatie van malware om uiteindelijk te stelen digitale munt,” Flashpoint zegt. “Het is waarschijnlijk dat cybercriminelen zullen blijven profiteren van de commodity-malware kits te koop aangeboden in ondergrondse hacken forums om te stelen, referenties en/of digitale valuta van de slachtoffers. “
ZDNet heeft bereikt Jaxx en Cloudflare en zal updaten als we horen terug.
Vorige en aanverwante dekking
Scareware regeling operator gegooid achter de tralies voor het richten van de AMERIKAANSE media LuckyMouse maakt gebruik van kwaadaardige NDISProxy Windows driver te richten gov ‘ t entiteiten Mirai, Gafgyt IoT botnets stab systemen met Apache Struts, SonicWall exploits
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0