譯者 | 陳峻

審校 | 重樓

數(shù)字資產(chǎn)的興起不僅吸引了合法的投資者，也吸引了試圖利用數(shù)字生態(tài)系統(tǒng)漏洞的網(wǎng)絡(luò)犯罪分子。目前，盜取加密貨幣的惡意軟件已成為了區(qū)塊鏈應(yīng)用的重大威脅之一。它們不但能夠侵入用戶的設(shè)備，而且會盜取他們辛苦“挖”來的數(shù)字財(cái)富。此類惡意軟件有著多種形式，而每種形式都有其獨(dú)特的功能和攻擊方法。隨著加密貨幣領(lǐng)域的不斷發(fā)展，了解潛在的風(fēng)險(xiǎn)，對于保護(hù)自己不成為攻擊的受害者，是至關(guān)重要的。

下面，我將重點(diǎn)介紹五種最令人困擾的竊取加密貨幣的惡意軟件，并將分享一些實(shí)用的預(yù)防小貼士，來保護(hù)自己免受其害。

1.勒索軟件

“贖金（ransom）”+“惡意軟件（malware）”名如其意，它會加密受害者的文件，或鎖定他們的計(jì)算機(jī)，使其無法訪問。接著，攻擊者會索要贖金（通常是加密貨幣），作為提供解密的密鑰、或是解鎖被入侵系統(tǒng)的交換條件。這是一種網(wǎng)絡(luò)勒索技術(shù)，其目的是脅迫受害者支付贖金，以重新獲得對其數(shù)據(jù)或設(shè)備的訪問權(quán)。

想象一下，您收到一封帶有誘人鏈接的電子郵件，而在點(diǎn)擊之后，電腦屏幕馬上被“凍結(jié)”，并彈出一條消息，聲稱：“您的所有文件都已被加密并無法訪問”。同時(shí)，該消息要求您在規(guī)定的時(shí)間內(nèi)支付特定金額的加密貨幣，以獲得解密密鑰。這些情況都說明了勒索軟件已經(jīng)挾持了您的電腦和數(shù)據(jù)。

根據(jù)區(qū)塊鏈數(shù)據(jù)分析公司 Chainalysis 的數(shù)據(jù)顯示：“隨著基于加密貨幣的犯罪形式在2023年持續(xù)增長，攻擊者勒索到的金額比 2022 年同期增加了 1.758 億美元”。勒索軟件尤其以全球性企業(yè)為目標(biāo)。如果受害者決定支付贖金的話，每筆贖金本身通常等值為數(shù)百萬美元。

最常見的勒索軟件傳播方式莫過于網(wǎng)絡(luò)釣魚（或身份冒充）、惡意廣告、以及盜版軟件。而對于企業(yè)來說，此類攻擊大多是有針對性的，而且是經(jīng)過周密計(jì)劃的。

2.惡意瀏覽器擴(kuò)展

瀏覽器擴(kuò)展是一種軟件附加的組件或插件。用戶可以將其安裝到自己的Web瀏覽器中，以增強(qiáng)功能或改善上網(wǎng)體驗(yàn)。然而，有些擴(kuò)展程序是出于惡意目的而創(chuàng)建的，旨在利用用戶的瀏覽活動，以達(dá)到不法的目的。

想象一下，您在瀏覽器中安裝了一個(gè)看似有用的加密貨幣價(jià)格查詢擴(kuò)展，卻并不知道該擴(kuò)展是惡意程序。一旦被安裝，它便會獲取您的瀏覽歷史記錄，從而監(jiān)控您的加密貨幣交易。據(jù)此，當(dāng)您登錄加密貨幣交易所或錢包時(shí)，該擴(kuò)展就會暗中收集您的登錄憑證和私鑰等敏感信息，并將其發(fā)送給攻擊者。攻擊者甚至可以清空您的加密錢包。

讓我們來看一個(gè)真實(shí)的案例：安全研究人員發(fā)現(xiàn)了一種名為 Rilide 的新型惡意瀏覽器擴(kuò)展。其目標(biāo)瀏覽器是包括：Google Chrome、Brave、Opera 和 Microsoft Edge在內(nèi)，基于 Chromium 的瀏覽器。該惡意軟件會監(jiān)控瀏覽器上的各種活動、截圖，并通過在網(wǎng)頁上注入腳本的方式，竊取加密貨幣。同時(shí)，它通過模仿良性的 Google Drive 擴(kuò)展，以逃避檢測。

經(jīng)研究發(fā)現(xiàn)，該惡意軟件通常會通過兩種獨(dú)立的活動來傳播--使用谷歌廣告與 Aurora Stealer ，或使用 Ekipa 的遠(yuǎn)程訪問木馬（remote access trojan，RAT）來加載擴(kuò)展。Rilide 能夠繞過雙因素身份驗(yàn)證 (two-factor authentication，2FA)，通過偽造的對話框，來欺騙受害者輸入臨時(shí)代碼，從而自動處理加密貨幣的取款請求。

3.惡意剪貼板

作為一種惡意軟件，它也是專門針對加密貨幣交易，并以竊取數(shù)字資產(chǎn)為目標(biāo)的。當(dāng)用戶在交易過程中復(fù)制并粘貼目標(biāo)地址時(shí)，它會使用攻擊者的地址，替換收件人的錢包地址。因此，本應(yīng)發(fā)送給合法收件人的資金，會被轉(zhuǎn)移到黑客的錢包中。而且，所有這一切都是悄然發(fā)生的。

想象一下，您正準(zhǔn)備為朋友當(dāng)前的購物支付加密貨幣。當(dāng)您將朋友的錢包地址復(fù)制并粘貼到付款欄時(shí)，您卻不知道，惡意剪切板已悄然在您的設(shè)備上秘密運(yùn)行了。由于能夠識別到那串特定的字符，因此惡意剪切板可以檢測并復(fù)制該地址。接著，它會將其替換為攻擊者的地址，并且偷偷地進(jìn)行資金的非法轉(zhuǎn)移。

目前，有幾種十分典型的惡意剪切板正在網(wǎng)上大殺四方。其中之一便是Laplas剪切板和MortalKombat勒索軟件的聯(lián)動。受害者會收到一封來自 CoinPayments 或其他加密公司的虛假電子郵件。一旦點(diǎn)擊其中的惡意鏈接，勒索剪切器板會被下載。目前，大多數(shù)受害者來自美國，而英國、土耳其和菲律賓也有用戶受到其影響。

4.加密劫持

此類軟件雖然不會直接竊取資金，但是會在您不知情的情況下，無償使用您的設(shè)備，并從中獲利。此類行為非但不會給您帶來任何好處，而且可能在此過程中造成一些問題。也就是說，加密劫持軟件會秘密地控制受害者的計(jì)算機(jī)或設(shè)備，在未經(jīng)用戶許可的情況下，利用其處理能力，執(zhí)行加密貨幣挖礦所需的復(fù)雜計(jì)算，通過持續(xù)挖掘加密貨幣的形式，以受害者為代價(jià)，讓攻擊者受益。

例如，在某次瀏覽網(wǎng)頁或下載之后，您可能會發(fā)現(xiàn)自己的電腦變得遲緩，風(fēng)扇開始比平時(shí)工作得更頻繁，以及耗電量增加等情況。這些意想不到的速度變緩跡象，都暗示了加密劫持惡意軟件在您訪問受過攻擊的網(wǎng)站時(shí)，感染到了您的系統(tǒng)上，并正在從中非法獲利。

而在移動設(shè)備方面，情況則更糟。它們可能會因?yàn)檫^熱而導(dǎo)致硬件組件的損壞?；?/span>聯(lián)網(wǎng)安全方案提供商SonicWall發(fā)現(xiàn)，“2023 年上半年，全球共記錄到 3.32 億次加密劫持攻擊，比去年增長了 399%，并創(chuàng)下了歷史新高”。

說道感染途徑，一般受害者會在使用盜版應(yīng)用或訪問受感染的網(wǎng)站時(shí)被盯上。當(dāng)然，攻擊者也會以云服務(wù)及其服務(wù)器為目標(biāo)，秘密挖掘Monero（XMR）和Dero（DERO）幣。目前，在北美和歐洲，尤其是在美國、加拿大、丹麥、德國和法國，都已發(fā)現(xiàn)了此類劫持攻擊。

5.遠(yuǎn)程訪問木馬（RAT）

顧名思義，遠(yuǎn)程訪問木馬（RAT）是一種偽裝式的惡意軟件。它允許黑客從遠(yuǎn)程位置，未經(jīng)授權(quán)地訪問并控制受害者的計(jì)算機(jī)或設(shè)備。一旦安裝了RAT，黑客就可以執(zhí)行各種惡意活動，如竊取敏感信息，監(jiān)控用戶行為，以及在受害者不知情的情況下執(zhí)行命令。

例如，您下載了一個(gè)看似無害的加密貨幣錢包的軟件更新。然而，該更新里就包含了一個(gè)隱藏的 RAT。一旦被安裝，RAT 就會向攻擊者授予遠(yuǎn)程訪問權(quán)限。攻擊者便可以監(jiān)控您的加密貨幣交易，進(jìn)而訪問您的數(shù)字錢包的私鑰。有了這種未經(jīng)授權(quán)的訪問權(quán)限，攻擊者還可以悄悄地將您的數(shù)字資產(chǎn)轉(zhuǎn)移到他們自己的錢包中，從而有效地竊取您的資金。可見，只從可信來源下載軟件，是防范 RAT 和其他網(wǎng)絡(luò)威脅的重要手段之一。

最近，網(wǎng)絡(luò)安全公司 Cyble 將此類惡意軟件的一個(gè)新變種命名為“變色龍”。它能夠偽裝成安卓設(shè)備上流行的加密應(yīng)用，例如：加密貨幣交易所等。一旦被無知的受害者安裝，“變色龍”就能夠讀取每一次按鍵（使用鍵盤記錄器），顯示假屏幕（采取覆蓋攻擊），并竊取短信、密碼和 Cookie 等重要數(shù)據(jù)。當(dāng)然，它們必然會竊取加密貨幣。

如何防范加密貨幣盜竊攻擊

顯然，我們有責(zé)任和義務(wù)保護(hù)自己的加密貨幣資金。對此，我們可以從如下簡單的實(shí)踐做起：

1. 使用信譽(yù)良好的安全軟件：在所有設(shè)備上安裝、并定期更新信譽(yù)良好的殺毒軟件和反惡意軟件。這些工具可以在加密竊取攻擊造成危害之前，對設(shè)備進(jìn)行實(shí)時(shí)檢測和查殺。
2. 從可信來源處下載：只從官方網(wǎng)站或可信的應(yīng)用商店處下載加密貨幣錢包、應(yīng)用和擴(kuò)展程序。請避免點(diǎn)擊可疑的鏈接、或從未知來源下載軟件。
3. 保持軟件更新：定期更新操作系統(tǒng)、Web瀏覽器和所有應(yīng)用程序，并及時(shí)修補(bǔ)那些可能被攻擊者利用的漏洞。
4. 啟用復(fù)雜密碼和雙因素驗(yàn)證（2FA）：請盡可能地為加密貨幣交易所賬戶和錢包啟用2FA。2FA能夠增加一個(gè)額外的保護(hù)層，以防止未經(jīng)授權(quán)的訪問。
5. 使用離線錢包存儲加密貨幣：離線錢包，也被稱為冷錢包，可以通過離線的方式存儲數(shù)字資產(chǎn)，并將其與黑客等在線威脅相隔離，從而增強(qiáng)加密貨幣的安全性。
6. 遠(yuǎn)離網(wǎng)絡(luò)釣魚：請小心那些網(wǎng)絡(luò)釣魚的電子郵件和模仿合法平臺的網(wǎng)站。在提供敏感信息或點(diǎn)擊鏈接之前，請仔細(xì)檢查URL和電子郵件的發(fā)件人地址。
7. 使用二維碼并檢查地址：前文提到的惡意剪貼板的成功，主要源于用戶缺乏對此方面的關(guān)注。請嘗試使用二維碼而不是復(fù)制粘貼功能，并在發(fā)送資金之前仔細(xì)檢查每個(gè)加密地址。
8. 警惕瀏覽器擴(kuò)展：在安裝瀏覽器擴(kuò)展、尤其是與加密貨幣相關(guān)的擴(kuò)展時(shí)，請務(wù)必謹(jǐn)慎。僅使用知名開發(fā)商提供的信譽(yù)良好的擴(kuò)展程序是一個(gè)不錯的實(shí)踐。
9. 監(jiān)控設(shè)備的活動：請定期查看設(shè)備的運(yùn)行進(jìn)程、活動擴(kuò)展和應(yīng)用程序，以及時(shí)發(fā)現(xiàn)任何可疑的后臺活動。
10. 連接安全的Wi-Fi：在進(jìn)行加密貨幣交易或訪問敏感信息時(shí)，請避免使用公共Wi-Fi網(wǎng)絡(luò)?？尚?、安全的專用網(wǎng)絡(luò)往往能夠幫助您增加安全性。
11. 自我教育：了解最新的網(wǎng)絡(luò)安全威脅和最佳實(shí)踐。畢竟，安全意識是抵御加密貨幣盜竊的第一道防線。

小結(jié)

通過采取上述預(yù)防措施，并保持謹(jǐn)慎的安全態(tài)度，您可以大幅降低成為加密貨幣竊取的受害者的風(fēng)險(xiǎn)，也能夠持續(xù)保護(hù)您的寶貴數(shù)字資產(chǎn)。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗(yàn)。

原文標(biāo)題：5 Crypto-Stealing Malware Threats: How to Stay Safe and Aware，作者：@obyte