Cyren发觉了一种歹意软件大暴发,它会偷取明码以及祈望机上的加密钱币电子钱币包中的比特币。这类多功效的键盘侧录歹意软件是做为附件伪装在假的银行转账电子邮件中,它告诉收件人他们曾经收到入款。电子邮件重要来自美国和新加坡的机械人,而且被符号为来自几个不同的银行,包罗阿联酋的新开拓银行与星展银行。
电子邮件主旨时常与金融转账联系比如:
在线付款告诉
账单革新
SWIFT副本
附件全体以『Swift』的组合定名包罗:
swiftcopy_pdf.ace
swiftcopy.zip
swift_copy.pdf.gz
『SWIFT』在这边指的是SWIFT的代码,用于唯独地判别寰球银行和金融机构的资本转变,而且显然用于给出这些是真实的同行生意汇报的生意次数。
电子邮件附件是可履行文献,大部分档名中都有『PDF』(Swift_Copy.Pdf.exe)。Cyren的研讨人员汇报指出,履行后会清除自己,并在Windows启动文献夹中树立一个名为『filename.vbs』的档案。屡屡受害者在刊出后从新启动或登录到他的祈望机中此足本就会履行,履行歹意软件自己-位于AppData\Local\Temp\子目录中的filename.exe。
歹意软件会从机码值中盘查多种软件联系的明码和其余敏锐讯息。它特殊偏重于FTP和涉猎器软件与其余有字据讯息的软件。它搜聚了祈望机上的一共网页涉猎器(积存的账号、明码、史乘纪录、Cookie、快取)与电子邮件客户端软件的一共讯息。
该歹意软件还试图在祈望机上搜索加密性电子钱币钱包来偷,个中试图找的钱包有
Anoncoin,BBQcoin,Bitcoin,Bytecoin,Craftcoin,Devcoin,Digitalcoin,Fastcoin,Feathercoin,Florincoin,Freicoin,I0coin,Infinitecoin,Ixcoin,Junkcoin,Litecoin,Luckycoin,Megacoin,Mincoin,Namecoin,Phoenixcoin,Primecoin,Quarkcoin,Tagcoin,Terracoin,Worldcoin,Yacoin与Zetacoin。
歹意软件会为键盘和鼠标树立钩子。呼唤GetAsyncKeyState的WindowsAPI,用于让歹意软件搜聚正在纪录的每个按键。
预览时标签不行点收录于合集#个