threatBook微步情报局
IOC 25

threatBookthreatBook

木马BTC偷窃
【微步在线通告】黑客利用工具软件捆绑后门窃取加密货币
微步情报局
2018-01-12 14:14:44ThreatBook2811
+ 关注

编号:TB-2018-0001 

报告置信度:80

TAG: Electrum,adtool,robomirror,捆绑后门,加密货币

TLP: 白 (可公开)

日期: 2018-01-11


摘要

近日,微步在线监测到有一境外黑客团伙自 2015 年起,就开始注册相似域名用于传播捆绑后门的工具软件,以盗取目标用户的加密货币。


事件概要

image.png


详情

  近日,微步在线监测到有一伙境外黑客从 2015 年以来,就开始注册 adtool.tech、jamsoftware.xyz、robomirror.xyz、electrum-wallet.com等仿冒主机管理工具、比特币钱包网站域名,用于传播捆绑了后门的工具软件,用户一旦从这些网站下载 adtool、robomirror、electrum 等工具,就会将主机内加密货币相关数据传回黑客的 C&C 服务器。

  2017 年 8 月,有境外用户在比特币社区发帖称从 electrum-wallet.com 网站下载了钱包工具,导致 45 比特币被盗走;11 月,github 用户“ronaldobini”发布话题称该恶意网站仍然存活,几天后域名服务商 Namecheap 才关停了该站点。

image.png

image.png

  通过对比 electrum-wallet.com 与官方网站下载的 electrum 软件发现,该软件加入了盗取用户钱包和密钥的代码,会将其回传至 robertpaulson.me、pinnacle-consulting.pw、bestoftechforums.org等站点,这些域名目前仍然存活,证明攻击活动仍在进行。

image.png


行动建议:

- 利用 IOC 中的域名、hash 进行自查。

- 请勿下载不明来源的软件工具。

展开全部ThreatBook

威胁指标(IOC)

域名子域名历史IP样本标签
adtool.tech1000
bestoftechforums.org1000
electrum-wallet.com5000
getyourdogsintime.xyz1000
jam-software.xyz1000
查看全部9threatBook
Hash检测结果样本标签
05b853ff217a72bde1cc06377d84ebd679e924b4662f628af1d096c2e45e5a660/2501
1f676f20dc58d94ce1a9b236e5391995b2e7cbeef86bd40aac327074e7c9d0c11/2501
206e59cfd105cf4797b27bd998669ce878932c06c8e4e5898cf422b748cc0a932/2503
3c2bbcdd6cbc3f0b6693d0f388ec272aae4a5b13125a8f8c309895169e743f871/2501
4e491749265982b02bc086a984283b96c09bba37c120c9d1857c45475d07567e2/2503
查看全部16threatBook
13

评论

ThreatBook
匿名用户
2018-05-22 16:03:44
threatBook0
还有这种操作?
匿名用户
2018-05-21 16:17:49
threatBook0
不错
匿名用户
2018-05-21 16:11:46
threatBook0
姿势可以
匿名用户
2018-05-21 16:10:23
threatBook0
姿势可以
匿名用户
2018-05-21 16:07:41
threatBook0
学习学习1
h0st
2018-05-21 16:07:09
threatBook0
新姿势学习下。。。
匿名用户
2018-05-21 16:06:20
threatBook0
学习学习
匿名用户
2018-05-21 16:04:33
threatBook0
厉害了
匿名用户
2018-05-21 15:56:54
threatBook0
学习个
匿名用户
2018-05-21 15:50:04
threatBook0
niupi 1
匿名用户
2018-05-21 15:49:06
threatBook0
niupi
匿名用户
2018-05-21 15:47:51
threatBook0
77777
匿名用户
2018-05-21 15:46:46
threatBook0
666
匿名用户
2018-05-21 15:45:27
threatBook0
666
匿名用户
2018-05-21 15:44:22
threatBook0
666
匿名用户
2018-01-17 23:36:12
threatBook0
666666666666666
匿名用户
2018-01-17 19:39:08
threatBook0
66666666666666666666
Linux
2018-01-15 10:31:01
threatBook0
666
已经到底了,没有更多内容了