幣圈用戶請小心WebInjects可以清空你的加密貨幣賬戶

徐強

網絡犯罪分子正在嘗試各種各樣的方法來將他們的“罪惡之手”伸向廣大用戶的加密貨幣錢包。研究人員發現，攻擊者正在利用能夠劫持瀏覽器（中間人攻擊的一種）的惡意軟件來劫持目標用戶的在線賬號，并實時進行欺詐交易，而這種攻擊技術名為WebInjects，即Web注入。

向目標站點中注入惡意腳本

從2018年年初開始，來自SecurityScorecard的研究人員發現了兩個僵尸網絡，這兩個僵尸網絡分別由ZeusPanda和Ramnit惡意軟件家族驅動，主要針對的是Coinbase.com和Blockchain.info這兩款加密貨幣錢包。

當用戶在訪問那些受這種惡意軟件感染的網站時，惡意軟件能夠檢測到用戶的訪問活動，并在后臺悄悄注入經過混淆處理的惡意腳本，然后修改目標頁面中所的呈現內容。

如果目標站點是Coinbase的話，惡意腳本會讓原網站中郵件地址和密碼的輸入文本域失效，并創建一個新的惡意按鈕然后疊加在“登錄”按鈕之上。這樣一來，當用戶輸入了登錄憑證并按下所謂的“提交”按鈕之后，他們會認為自己完成了登錄，但此時他們的憑證信息將發送給攻擊者所控制的服務器。實際上，惡意軟件還會假裝登錄受限，并要求用戶進一步完成雙因素身份驗證。

當攻擊者獲取到目標用戶的憑證數據之后，攻擊者會利用這些數據來訪問用戶賬號，并修改相應的安全設置以便進行之后的欺詐交易。研究人員Catalin Valeriu和Doina Cosovan解釋稱：“在大多數情況下，攻擊者在獲取到憑證之后，需要立刻使用數據來訪問用戶賬號。尤其是WebInjects攻擊在實現針對加密貨幣錢包的欺詐交易時，往往在登錄賬號之前需要完成雙因素驗證，因此攻擊者在拿到憑證之后需要立刻響應并獲取用戶的雙因素驗證碼。在此之前，老版本的Zeus惡意軟件會使用Jabber即時消息軟件來告知僵尸網絡管理員成功接收到了用戶憑證，但這種新型的惡意軟件變種似乎使用的也是類似的機制。”

有趣的是，當攻擊者成功修改了目標賬號的安全設置之后，他們還可以通過屏蔽設置頁面和錯誤信息來確保用戶不會把設置改回來。

研究人員表示，當攻擊者禁用了目標賬號的多因素驗證功能并且用戶無法訪問設置頁面后，攻擊者就可以隨意進行各種加密貨幣交易了。

根據研究人員對當前惡意軟件變種的分析結果顯示，目前WebInjects還不能自動化完成加密貨幣竊取或交易。很明顯，攻擊者現在的主要目標是入侵用戶賬號并通過修改安全設置以備后續入侵。但是研究人員表示攻擊者遲早會實現自動化的加密貨幣竊取，一切只是時間問題。

這種攻擊技術還可以用來入侵Blockchain.info錢包。在這種攻擊場景下，攻擊者同樣需要給目標用戶呈現偽造的登錄頁面。

完成登錄之后，惡意腳本會迅速初始化一個交易頁面，并用偽造的加密貨幣錢包地址替換原始的合法地址，然后修改交易的加密貨幣類型以及金額。當用戶完成了加密貨幣交易之后，惡意腳本會發送一個通知并告訴用戶當前服務不可用，而此時用戶根本不會意識到自己的錢包已經被“榨干”了。

如何保護用戶的安全？

隨著加密貨幣生態系統的不斷成長，針對加密貨幣的惡意軟件也會隨之發展壯大。雖然本文所分析的惡意軟件變種只會對Coinbase.co以及Blockchain.info這兩款加密貨幣錢包進行攻擊，但其他的WebInjects變種很可能會轉向其他的加密貨幣交易所。

廣大用戶可以查看自己的加密貨幣交易賬號是否可以正常訪問安全設置頁面，是否收到了莫名其妙的多因素驗證消息，或者是否收到了“服務不可用”的通知來判斷自己是否受到了影響。如果你覺得自己的賬號已經被入侵，請立刻在其他電腦上修改自己的密碼。因為很多惡意軟件會在入侵目標設備后實現持久化感染，因此同一設備很可能仍然是不安全的。