不知道大家有沒(méi)有發(fā)現(xiàn)，騙子總是以我們熟悉的方式行騙，卻以我們不熟悉的方式竊取信息，總之，他們總有辦法竊取你的信息。

“捕食者”騙局

雷鋒網(wǎng) 11 月 12 日消息，據(jù)外媒報(bào)道，一個(gè)新的騙局正在YouTube上展開，該騙局利用視頻推廣一種工具，據(jù)稱該工具可以生成比特幣地址的私鑰。該密鑰將允許您訪問(wèn)存儲(chǔ)在比特幣地址中的比特幣，而實(shí)際上，“捕食者”通過(guò)這個(gè)視頻在悄悄竊取你的信息。

報(bào)道稱，在這個(gè)騙局中，“捕食者”上傳的視頻宣傳了一個(gè)偽造的比特幣地址私鑰生成器，該生成器可以用來(lái)竊取他人的比特幣。

上傳的視頻

【 圖片來(lái)源：bleepingcomputer  所有者：bleepingcomputer 】

當(dāng)用戶提取時(shí)便會(huì)包含一個(gè)setup.exe文件，其中包含一個(gè)受密碼保護(hù)的ZIP文件，該文件包含小偷可執(zhí)行的捕食者。這個(gè)setup.exe文件目前有 1/71 的檢測(cè)在病毒總數(shù)上。

受密碼保護(hù)的ZIP文件

【 圖片來(lái)源：bleepingcomputer  所有者：bleepingcomputer 】

事實(shí)上， 這個(gè)setup.exe程序是一個(gè)特洛伊木馬程序，它會(huì)將文件解壓縮到。\語(yǔ)言\模板\臨時(shí)文件夾為license.exe。然后license.exe文件將被執(zhí)行，掠奪者小偷信息竊取木馬將被安裝并在計(jì)算機(jī)上執(zhí)行。

安裝程序

【 圖片來(lái)源：bleepingcomputer  所有者：bleepingcomputer 】

一旦運(yùn)行，“掠奪者小偷”將與惡意軟件的命令和控制服務(wù)器通信，下載更多組件和其他惡意軟件，并將信息發(fā)送回攻擊者。

捕食者網(wǎng)絡(luò)流量

【 圖片來(lái)源：bleepingcomputer  所有者：bleepingcomputer 】

據(jù)稱，該特洛伊木馬可從計(jì)算機(jī)中竊取各種信息和密碼，包括復(fù)制受害者的剪貼板、通過(guò)網(wǎng)絡(luò)攝像頭進(jìn)行記錄以及從受害者處竊取文件。

何謂“捕食者”？

據(jù)卡巴斯基2月中旬的調(diào)查分析報(bào)告稱，捕食者是一種由說(shuō)俄語(yǔ)的人開發(fā)的數(shù)據(jù)竊取器。它在俄羅斯論壇上廉價(jià)出售，并在野外被多次發(fā)現(xiàn)。

雖然檢測(cè)在以前的版本中是成功的，但是它的所有者通過(guò)每隔幾天生成FUD(完全檢測(cè)不到)樣本來(lái)快速適應(yīng)。所有者不對(duì)受害者攻擊媒介負(fù)責(zé)，只出售建筑商。只需支付少量額外費(fèi)用，他們還可以為客戶創(chuàng)建一個(gè)管理面板。

最新的樣本暴露在他們的電報(bào)組；然而，鏈接只重定向到一個(gè)鮮為人知的反病毒聚合器，我們無(wú)法訪問(wèn)它。

此外，他們還發(fā)現(xiàn)“捕食者”的主人非常注重商業(yè)。他們不斷更新他們的軟件，試圖擴(kuò)展特性并適應(yīng)客戶需求，并且在工具的公開/分析方面通常不那么激進(jìn)。一般用一些簡(jiǎn)單的技術(shù)來(lái)混淆它的大部分代碼。

大致的步驟如下：

【 圖片來(lái)源：kaspersky  所有者：kaspersky 】

在以前的版本中，“捕食者”通常使用臨時(shí)文件(*)。col格式文件)來(lái)存儲(chǔ)瀏覽器內(nèi)容(在SQLite3數(shù)據(jù)庫(kù)中)，但是對(duì)于Edge和IE，它被硬編碼的PowerShell命令所代替，該命令將文件內(nèi)容直接放入專用的存儲(chǔ)庫(kù)中......根據(jù)“官方”銷售頁(yè)面上的信息，“捕食者”目前支持以下瀏覽器數(shù)據(jù)盜竊列表:

【 圖片來(lái)源：kapspersky  所有者：kapspersky 】

同時(shí)，“捕食者”不斷地將新軟件集成到竊取列表中，并修復(fù)bug以保持其穩(wěn)定性和流行性。目前他們的版本特性為：

【 圖片來(lái)源：kaspersky  所有者：kaspersky 】

作為網(wǎng)上沖浪的一員，此時(shí)雷鋒網(wǎng)小編只想說(shuō)小偷都在更新自己的“騙術(shù)”，我們有什么理由不提高警惕提防被騙呢？

YouTube出事不是第一次

作為這次事件的另一主角YouTube，這已經(jīng)不是第一次發(fā)生這樣的事情了。

今年 3 月，YouTube上還出現(xiàn)另外一個(gè)加密貨幣詐騙廣告。當(dāng)時(shí)，惡意軟件版本的廣告在YouTube上偽裝成比特幣錢包Electrum的廣告。用戶點(diǎn)擊該廣告后，就會(huì)開始下載的EXE文件。實(shí)際上，用戶進(jìn)入的是假冒網(wǎng)址elecktrum.org，而不是electrum.org。 

今年 5 月，信息竊取和剪貼板劫持木馬Qulab正在通過(guò)YouTube上所謂的免費(fèi)比特幣欺詐視頻進(jìn)行傳播。這些視頻描述了一種工具，引導(dǎo)用戶通過(guò)視頻說(shuō)明中的鏈接獲得免費(fèi)比特幣。鏈接將指向下載所謂的工具，實(shí)際上卻是Qulab木馬。下載后，該木馬需要安裝才能部署。除了試圖竊取用戶信息之外，Qulab還會(huì)試圖通過(guò)掃描復(fù)制到Windows剪貼板的字符串，識(shí)別出加密地址并替換為攻擊者的地址以偷偷竊取加密貨幣。

最后，雷鋒網(wǎng)再次提醒大家，網(wǎng)上沖浪千萬(wàn)條，小心謹(jǐn)慎第一條！

參考來(lái)源：

bleepingcomputer；kaspersky

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。