恶意软件使用比特币区块链重新创建与目标用户的 C2 连接

随着区块链技术的不断发展，对网络安全和我们隐私的威胁也在不断发展。 最近，一种已知的病毒进化为使用区块链来感染最终用户设备。

IT 安全公司 TrendMicro 警告称，比特币区块链正面临新的恶意软件威胁。 9 月 4 日，趋势科技在其博客文章中详细介绍了 Glupteba 的一个新变体，它可以利用比特币区块链进行自我复制，以绕过自己之前的区块并进行更新。

“我们最近遇到了一种传播名为 Glupteba 的恶意软件的恶意攻击。 这是一种较旧的恶意软件，之前与名为 Operation Windigo 的活动相关联，并通过漏洞利用工具包分发给 Windows 用户，”TrendMicro“2018 年，一家安全公司报告称，Glupteba 僵尸网络可能独立于 Windigo 运作，并且迁移到在野外分发的付费安装广告软件服务，”说

Glupteba 恶意软件于 2011 年首次被发现，它通过一个旨在通过脚本传播病毒的广告传播，并可以从受感染的设备中窃取信息，例如其浏览历史记录、网站 cookie 和帐户名。

此外，研究人员报告说，最新版本的 Glupteba 还可以挖掘注重隐私的门罗币加密货币比特币信息app，并可以利用 MicroTik 路由器中的一个已知漏洞将目标计算机转变为 SOCKS 代理，从而危及 Instagram 用户帐户的安全。 发起广泛的垃圾邮件攻击。

Jaromir Horejsi 和他写道：“Glupteba 背后的参与者的活动多种多样：他们被怀疑在地下提供代理服务，并且他们已被确定为使用 EternalBlue 漏洞侵入本地网络并运行 Monero (XMR) 加密货币矿工。 ” Joseph C. Chen，TrendMirco。

这是如何运作的

趋势科技创建了一个信息图来展示攻击的工作原理，我们已将其添加到下方。 从本质上讲，目标设备是通过广告或链接受到攻击的，不经意间的最终用户可能会点击这些广告或链接，这被称为“恶意广告”。 然后病毒将自身下载到用户的设备上。

下载后，它可以连接到黑客选择的服务器并获得对受感染设备信息的访问权限。 通常比特币信息app，杀毒软件会捕获病毒并阻止它重新连接到服务器，但最近的 Glupteba 病毒现在可以在杀毒软件不注意的情况下使用比特币区块链重新连接到黑客的服务器。

据 TrendMicro 称，该恶意软件可以使用比特币自动更新自身，确保即使是攻击者运行的远程 C&C 连接也无法运行。 Glupteba 背后的参与者将首先通过 Electrum 比特币钱包发送比特币交易，该钱包之前曾被网络钓鱼活动破坏。

显然，该恶意软件使用硬编码的 ScriptHash 字符串进行编程，该字符串在 Electrum 服务器的公共列表中传播，以查找攻击者进行的每笔交易。 在这些交易中，看似无害的 OP_RETURN 数据包含加密的 C&C 字段。 然后，ScriptHash 字符串用于解密该数据。

趋势科技谈到这个过程的好处：“如果他们出于任何原因失去对 C&C 服务器的控制，他们只需要添加一个新的比特币脚本，受感染的计算机就可以通过解密脚本数据并重新连接来获得一个副本。新C&C 服务器。”

最终，任何决定使用加密货币（尤其是 BTC）的人都会面临爆炸和网络攻击的风险。 始终使用双因素身份验证等安全措施来确保您受到良好保护，并避免在网上使用任何可疑的广告材料。