推荐好友就有钱,你已经成了勒索软件的帮凶
一些网站每天在其网页上推送比特币收集程序,承诺每天可以赚5到30美元。然而实际上,该程序除了将勒索软件或密码窃取特洛伊木马安装到受害者的计算机上之外什么都做不了。
推广骗局
这个骗局最初是由一个Twitter名为Frost的恶意软件研究人员发现的,他在推特上发布了这个消息。
这些网站承诺只要推荐其他人注册它们的网站就可以赢得以太币。网站上的常见问题上表示,只要有1000个人通过您的链接访问网站,您就可以获得3个以太币,价值约750美元。
诈骗网站
这甚至不是一个真正的骗局。如上图所示,他们宣称您每天可以“免费且自动地”赚取15到45美元不等的比特币。
如果单击这个框,就会被带到另一个页面,宣传一个名为“比特币收集器”的程序,下载和运行后,就可以生成免费的比特币。它甚至提供了一个VirusTotal链接来显示它是完全安全的,但即使该程序没有检测到,它仍然是一个特洛伊木马,如果恶意payload存在,它就会会执行恶意payload。
下载zip文件并将其解压后,它将生成大量文件,其中包括名为BotCollector.exe的可执行文件。
执行BotCollector.exe时,它将启动一个名为“Freebitco.in-Bot”的程序,该程序是一个伪装成比特币生成器的木马,启动它只会启动恶意软件的payload。
点击“开始”按钮后,虚假的“Bot”程序将geobaze\patch\logo.png中的文件复制到logo.exe并执行它来触发恶意payload,如下所示。
研究人员推测,此payload可能是勒索软件或窃取密码的特洛伊木马程序。
这种加密货币骗局的有趣之处在于,攻击者承诺受害者只要推荐用户就可以获得以太币,这是对“BotCollector”的免费促销活动,从而有更多机会感染访问者。
勒索软件
当Frost首次发现此活动时,恶意payload是一个名为“Marozka Tear Ransomware”的HiddenTear勒索软件。
运行时,勒索软件会加密受害者的文件并附加.Crypted扩展名,创建名为HOW TO DECRYPT FILES.txt的勒索信,如下所示。告诉用户通过 india2lock@gmail.com 与攻击者联系,以便接收付款说明。
勒索信如下:
加密文件源代码
由于这只是一个HiddenTear变体,受感染的用户可以使用HiddenTear Decrypter免费解密文件。
窃取密码的木马
这个骗局现在已将其payload切换为窃取信息的木马。下图是连接到它的命令和控制服务器的特洛伊木马程序。
密码窃取特洛伊木马感染是两个payload中比较严重的,因为它允许攻击者窃取您访问的网站的登录凭据、截取屏幕截图、检索浏览器历史记录、从您的计算机窃取文件、甚至窃取加密货币钱包。