Jaxx数字货币钱包的安全问题

 虽然网络钓鱼仍然是基于恶意软件基于电子邮件的攻击中的普遍威胁，但网络犯罪分子通过添加模拟组件方法来提高其成功率。

Jaxx由加拿大区块链创业公司Decentral所有，是一种流行的加密货币钱包，在桌面和移动平台上的下载量超过120万。它支持多种类型的硬币，包括比特币和以太坊。
至少一个星期，Jaxx加密货币钱包网站有一个欺诈版本，提供恶意链接诱骗用户泄露保护虚拟资金的备份短语。

该网站位于jaxx[.]ws，正在使用Cloudflare的内容分发网络，可能会使其托管服务提供商难以发现。

有安全研究人员在被网络犯罪活动引起的一系列感染提醒后，于8月30日发现了这一问题。但是，该活动可能已于8月19日开始，这是攻击者域名的创建日期。

攻击者希望进行隐身手术

除了注册可能容易与合法的Jaxx网站，jaxx [.] io以及使用Cloudflare混淆的域名外，攻击者还会逐行复制原始版本。

在一份报告中有解释说，对于Jaxx网站的欺骗变种的访问者几乎没有怀疑这个诡计“因为攻击者在将受害计算机安装合法钱包软件时遇到了麻烦”。
但与此同时，Java存档（JAR）和.NET应用程序形式的macOS或Windows恶意软件在后台默默安装。如果有人要求提供钱包的移动版本，他们就会收到合法文件。

联系

有恶意软件研究员讲过，Windows恶意软件可以将文件泄露到命令和控制（C2）服务器，以及下载KPOT Stealer和Clipper，这两个恶意软件在俄罗斯地下论坛上销售。
Clipper的目的是监控数字钱包地址的剪贴板，并用攻击者控制的其他人替换它们。KPOT窃取器从本地驱动器吸取信息。

macOS JAR文件也指向俄罗斯的犯罪者，因为它是使用俄语IDE（集成开发环境）DevelNext编译的。
窃取钱包解密短语

当用户运行JAR文件时，就会看到一条消息，通知无法创建新钱包的技术问题。

接下来，他们被引导到一个请求Jaxx钱包备份短语的应用程序屏幕。这实际上是解密钱包以访问数字资金的密码。

“备份短语然后被泄露给攻击者的网络服务器，而受害者收到另一个混合的俄语和英语错误消息，指出”服务器不可用。请在4小时内再试一次。

​

启动.NET应用程序的Windows用户从Google Docs位置获取一个声称是Jaxx钱包测试版的文件。
安装后，恶意软件会将所有本地TXT，DOC和XLS文件发送到C2服务器，最有可能是攻击者搜索加密货币钱包地址。

该操作的下一个阶段是下载合法的Jaxx软件，KPOT窃取程序和Clipper恶意软件。

Cloudflare暂停了对欺骗网站的服务，Jaxx支持迅速采取行动对付虚假网站，以保护其客户群。

在与BleepingComputer的对话中，Burbage想要指出这是针对Jaxx钱包用户的社交工程活动，没有任何迹象表明Jaxx软件或其系统中存在漏洞或安全漏洞。

（作者：曲速未来安全区，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）