黑客如何利用網路注入來劫持你的加密貨幣賬戶？

隨著加密貨幣的黑產業鏈的興起，目前黑客得到這些貨幣的方式有兩種，一種是想方設法的來利用用戶的計算機幫助他們挖礦，而另一種則更直接，乾脆明強，通過直接劫持用戶的加密貨幣賬戶，來進行欺詐。最新的一個惡意軟體通過加入Man-in-the-Browser（一種中間人攻擊技術）功能來劫持加密貨幣賬戶，研究人員將其稱為WebInjects技術即網路注入技術。

通過惡意腳本注入劫持賬戶的過程

自今年年初以來，SecurityScorecard的研究人員已經觀察到兩個由Zeus Panda和Ramnit惡意軟體家族發起的殭屍網路攻擊，它們分別針對Coinbase平台的帳戶（Coinbase.com）和Blockchain錢包（Blockchain.info）。

除了平常所見的攻擊性能外，這個惡意軟體還能夠檢測用戶訪問這兩個網站的具體時間，並在其中悄悄注入經過混淆的腳本，當用戶的登錄頁面被混淆腳本攻擊後，用戶所看到內容其實就是假內容即黑客進行釣魚攻擊的內容。

當用戶的訪問目標是Coinbase（一家比特幣公司）時，這個混淆的腳本就會立馬運行，讓用戶在黑客們偽造的登錄頁面上輸入電子郵件和密碼，具體過程如下：

1.當用戶要在正常的登錄頁面輸入電子郵件和密碼時，惡意軟體先會屏蔽用戶的輸入內容；

2.此時，惡意軟體會將黑客預先創建的登錄頁面疊加在正常的登錄頁面，實施釣魚攻擊；

3.當用戶輸入登錄憑證後，黑客即可在後台獲取這些登錄信息，劫持用戶的加密貨幣賬戶。

這還不算完，此時，惡意軟體還會故意製造一些登錄過程中的問題，如下圖所示，此時，黑客會要求用戶進行雙因素身份驗證。

當用戶傻乎乎的輸入二次驗證碼時，攻擊者就可以繞過最後的防線，不但可以使用被盜的憑證信息訪問用戶的賬戶還能修改賬號交易的全部安全設置。

對此，研究人員Catalin Valeriu和Doina Cosovan表示：

由於要使用雙因素驗證碼來對用戶的賬號進行暫時性設置，所以在大多數情況下，攻擊者在通過偽造的登錄頁面獲取登錄憑證之後，需要快速使用數據來進入用戶的賬號進行相關操作。這樣就能防止用戶起疑，因為在用戶真正進入賬戶之前，如果攻擊者還未進行成功設置則攻擊就失敗。在此之前，老版本的Zeus惡意軟體會使用Jabber即時消息軟體來告知殭屍背後的幕後操作者，他們成功接收到了用戶憑證，從而讓攻擊者迅速做出行動。從目前對這個網路注入的惡意軟體分析來看，它很可能也有類似的通知提示機制。

有趣的是，當用戶的賬戶交易安全設置被更改之後，攻擊者還可以通過阻止用戶訪問設置頁面並顯示錯誤消息來確保用戶不能在短時間內更改攻擊者已經設置的選項。

Catalin Valeriu和Doina Cosovan表示：

如果攻擊者把安全選中的雙因素身份驗證給禁用，再加上用戶也無法在短期內訪問設置頁面，那在不引起用戶注意的情況下，攻擊者就可以隨意利用所劫持的加密貨幣賬戶進行交易了，比如把你的加密貨幣轉給其他賬戶等。

不過就目前而言，這種通過加入Man-in-the-Browser功能來劫持加密貨幣賬戶的技術還沒有完全成熟。比如，目前在劫持了用戶的賬號並修改完安全設置後，剩餘資金交易和轉賬的操作都還必須靠幕後的操作人員來手動完成，還沒有實現自動化操作。顯然，攻擊者目前的主要目標僅僅是劫持用戶賬號後修改安全設置。他們可能認為，只要安全設置被更改了，至於盜竊多少資金，全看心情。但是，研究人員認為攻擊者遲早會實現自動竊取資金的功能。

下圖就是攻擊者通過腳本注入來劫持用戶登錄的Blockchain.info頁面：

當用戶在訪問Blockchain.info登錄頁面時，攻擊者通過腳本注入偽造頁面出有關登錄出現差錯的提示，讓用戶耐心等待修復。就在用戶等待修復的期間，此時攻擊者注入的腳本會立即將正規的登錄頁面替換成偽造頁面。在用戶的登錄憑證被竊取後，如果用戶設置了雙因素身份驗證，則會再次被要求提供驗證碼。這樣注入的腳本將會從用戶的賬號中提取PIN值，然後將該值修改，從而賦予賬戶操作的許可權。

不過為了保證賬戶盜竊能順利完成，攻擊者會向受害者顯示一條所謂提示消息，稱登錄服務當前不可用。

緩解措施

隨著加密貨幣生態系統和經濟規模的增長，與此相關的惡意軟體產業和技術也隨之增長。雖然本文提到的這個惡意軟體僅針對Coinbase.co和Blockchain.info，但很快，就會有利用WebInjects針對其他錢包和平台的變體出現。

WebInjects攻擊技術對攻擊者很有吸引力，因為它不但允許攻擊者快速根據攻擊目標調整代碼來適應新的攻擊服務。

建議用戶在登錄與資金相關的賬號時，注意登錄頁面的官網是否是正式網站以防被釣魚，再一個就是對需要雙因素驗證的登錄保持警惕，因為正常情況下的登陸操作是不需要進行這個過程的，還有就是對一些莫名其妙的通知信息，如「服務不可用」等保持警惕。

Valeriu和Cosovan建議：

如果你懷疑你的賬戶已經被破壞，那就立即在另外一台計算機上登錄你的賬戶，並更改密碼，因為目前該惡意軟體還不可能同時對不同設備上的同一賬號進行攻擊。

由於該惡意軟體一旦感染了你的設備，其就會獲得攻擊持久性，要想通過一般的方法防範它很難，唯一的辦法就是重裝系統。

另外，幾年前，當銀行類惡意軟體盛行時，通常都被要求使用「Live CD」進行網上銀行業務。Live CD，又譯為自生系統，是事先存儲於某種可移動存儲設備上，可不特定於計算機硬體（non-hardware-specific）而啟動的操作系統（通常亦包括一些其他軟體），不需安裝至計算機的本地外部存儲器——硬碟。採用的介質包括CD-ROM（Live CD），DVD（Live DVD），快閃記憶體盤（Live USB）甚至是軟盤等。退出自生系統並重啟後，電腦就可以恢復到原本的操作系統。

因此Valeriu和Cosovan認為，這個方法目前也適用於防護加密貨幣的業務。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！