如何防范五大加密货币盗窃威胁

译者 | 陈峻

审校 | 重楼

数字资产的兴起不仅吸引了合法的投资者，也吸引了试图利用数字生态系统漏洞的网络犯罪分子。目前，盗取加密货币的恶意软件已成为了区块链应用的重大威胁之一。它们不但能够侵入用户的设备，而且会盗取他们辛苦“挖”来的数字财富。此类恶意软件有着多种形式，而每种形式都有其独特的功能和攻击方法。随着加密货币领域的不断发展，了解潜在的风险，对于保护自己不成为攻击的受害者，是至关重要的。

下面，我将重点介绍五种最令人困扰的窃取加密货币的恶意软件，并将分享一些实用的预防小贴士，来保护自己免受其害。

1.勒索软件

“赎金（ransom）”+“恶意软件（malware）”名如其意，它会加密受害者的文件，或锁定他们的计算机，使其无法访问。接着，攻击者会索要赎金（通常是加密货币），作为提供解密的密钥、或是解锁被入侵系统的交换条件。这是一种网络勒索技术，其目的是胁迫受害者支付赎金，以重新获得对其数据或设备的访问权。

想象一下，您收到一封带有诱人链接的电子邮件，而在点击之后，电脑屏幕马上被“冻结”，并弹出一条消息，声称：“您的所有文件都已被加密并无法访问”。同时，该消息要求您在规定的时间内支付特定金额的加密货币，以获得解密密钥。这些情况都说明了勒索软件已经挟持了您的电脑和数据。

根据区块链数据分析公司 Chainalysis 的数据显示：“随着基于加密货币的犯罪形式在2023年持续增长，攻击者勒索到的金额比 2022 年同期增加了 1.758 亿美元”。勒索软件尤其以全球性企业为目标。如果受害者决定支付赎金的话，每笔赎金本身通常等值为数百万美元。

最常见的勒索软件传播方式莫过于网络钓鱼（或身份冒充）、恶意广告、以及盗版软件。而对于企业来说，此类攻击大多是有针对性的，而且是经过周密计划的。

2.恶意浏览器扩展

浏览器扩展是一种软件附加的组件或插件。用户可以将其安装到自己的Web浏览器中，以增强功能或改善上网体验。然而，有些扩展程序是出于恶意目的而创建的，旨在利用用户的浏览活动，以达到不法的目的。

想象一下，您在浏览器中安装了一个看似有用的加密货币价格查询扩展，却并不知道该扩展是恶意程序。一旦被安装，它便会获取您的浏览历史记录，从而监控您的加密货币交易。据此，当您登录加密货币交易所或钱包时，该扩展就会暗中收集您的登录凭证和私钥等敏感信息，并将其发送给攻击者。攻击者甚至可以清空您的加密钱包。

让我们来看一个真实的案例：安全研究人员发现了一种名为 Rilide 的新型恶意浏览器扩展。其目标浏览器是包括：google Chrome、Brave、Opera 和 Microsoft Edge在内，基于 Chromium 的浏览器。该恶意软件会监控浏览器上的各种活动、截图，并通过在网页上注入脚本的方式，窃取加密货币。同时，它通过模仿良性的 Google Drive 扩展，以逃避检测。

经研究发现，该恶意软件通常会通过两种独立的活动来传播--使用谷歌广告与 Aurora Stealer ，或使用 Ekipa 的远程访问木马（remote access trojan，RAT）来加载扩展。Rilide 能够绕过双因素身份验证 (two-factor authentication，2FA)，通过伪造的对话框，来欺骗受害者输入临时代码，从而自动处理加密货币的取款请求。

3.恶意剪贴板

作为一种恶意软件，它也是专门针对加密货币交易，并以窃取数字资产为目标的。当用户在交易过程中复制并粘贴目标地址时，它会使用攻击者的地址，替换收件人的钱包地址。因此，本应发送给合法收件人的资金，会被转移到黑客的钱包中。而且，所有这一切都是悄然发生的。

想象一下，您正准备为朋友当前的购物支付加密货币。当您将朋友的钱包地址复制并粘贴到付款栏时，您却不知道，恶意剪切板已悄然在您的设备上秘密运行了。由于能够识别到那串特定的字符，因此恶意剪切板可以检测并复制该地址。接着，它会将其替换为攻击者的地址，并且偷偷地进行资金的非法转移。

目前，有几种十分典型的恶意剪切板正在网上大杀四方。其中之一便是Laplas剪切板和MortalKombat勒索软件的联动。受害者会收到一封来自 CoinPayments 或其他加密公司的虚假电子邮件。一旦点击其中的恶意链接，勒索剪切器板会被下载。目前，大多数受害者来自美国，而英国、土耳其和菲律宾也有用户受到其影响。

4.加密劫持

此类软件虽然不会直接窃取资金，但是会在您不知情的情况下，无偿使用您的设备，并从中获利。此类行为非但不会给您带来任何好处，而且可能在此过程中造成一些问题。也就是说，加密劫持软件会秘密地控制受害者的计算机或设备，在未经用户许可的情况下，利用其处理能力，执行加密货币挖矿所需的复杂计算，通过持续挖掘加密货币的形式，以受害者为代价，让攻击者受益。

例如，在某次浏览网页或下载之后，您可能会发现自己的电脑变得迟缓，风扇开始比平时工作得更频繁，以及耗电量增加等情况。这些意想不到的速度变缓迹象，都暗示了加密劫持恶意软件在您访问受过攻击的网站时，感染到了您的系统上，并正在从中非法获利。

而在移动设备方面，情况则更糟。它们可能会因为过热而导致硬件组件的损坏。互联网安全方案提供商SonicWall发现，“2023 年上半年，全球共记录到 3.32 亿次加密劫持攻击，比去年增长了 399%，并创下了历史新高”。

说道感染途径，一般受害者会在使用盗版应用或访问受感染的网站时被盯上。当然，攻击者也会以云服务及其服务器为目标，秘密挖掘Monero（XMR）和Dero（DERO）币。目前，在北美和欧洲，尤其是在美国、加拿大、丹麦、德国和法国，都已发现了此类劫持攻击。

5.远程访问木马（RAT）

顾名思义，远程访问木马（RAT）是一种伪装式的恶意软件。它允许黑客从远程位置，未经授权地访问并控制受害者的计算机或设备。一旦安装了RAT，黑客就可以执行各种恶意活动，如窃取敏感信息，监控用户行为，以及在受害者不知情的情况下执行命令。

例如，您下载了一个看似无害的加密货币钱包的软件更新。然而，该更新里就包含了一个隐藏的 RAT。一旦被安装，RAT 就会向攻击者授予远程访问权限。攻击者便可以监控您的加密货币交易，进而访问您的数字钱包的私钥。有了这种未经授权的访问权限，攻击者还可以悄悄地将您的数字资产转移到他们自己的钱包中，从而有效地窃取您的资金。可见，只从可信来源下载软件，是防范 RAT 和其他网络威胁的重要手段之一。

最近，网络安全公司 Cyble 将此类恶意软件的一个新变种命名为“变色龙”。它能够伪装成Android/ target=_blank class=infotextkey>安卓设备上流行的加密应用，例如：加密货币交易所等。一旦被无知的受害者安装，“变色龙”就能够读取每一次按键（使用键盘记录器），显示假屏幕（采取覆盖攻击），并窃取短信、密码和 Cookie 等重要数据。当然，它们必然会窃取加密货币。

如何防范加密货币盗窃攻击

显然，我们有责任和义务保护自己的加密货币资金。对此，我们可以从如下简单的实践做起：

1. 使用信誉良好的安全软件：在所有设备上安装、并定期更新信誉良好的杀毒软件和反恶意软件。这些工具可以在加密窃取攻击造成危害之前，对设备进行实时检测和查杀。
2. 从可信来源处下载：只从官方网站或可信的应用商店处下载加密货币钱包、应用和扩展程序。请避免点击可疑的链接、或从未知来源下载软件。
3. 保持软件更新：定期更新操作系统、Web浏览器和所有应用程序，并及时修补那些可能被攻击者利用的漏洞。
4. 启用复杂密码和双因素验证（2FA）：请尽可能地为加密货币交易所账户和钱包启用2FA。2FA能够增加一个额外的保护层，以防止未经授权的访问。
5. 使用离线钱包存储加密货币：离线钱包，也被称为冷钱包，可以通过离线的方式存储数字资产，并将其与黑客等在线威胁相隔离，从而增强加密货币的安全性。
6. 远离网络钓鱼：请小心那些网络钓鱼的电子邮件和模仿合法平台的网站。在提供敏感信息或点击链接之前，请仔细检查URL和电子邮件的发件人地址。
7. 使用二维码并检查地址：前文提到的恶意剪贴板的成功，主要源于用户缺乏对此方面的关注。请尝试使用二维码而不是复制粘贴功能，并在发送资金之前仔细检查每个加密地址。
8. 警惕浏览器扩展：在安装浏览器扩展、尤其是与加密货币相关的扩展时，请务必谨慎。仅使用知名开发商提供的信誉良好的扩展程序是一个不错的实践。
9. 监控设备的活动：请定期查看设备的运行进程、活动扩展和应用程序，以及时发现任何可疑的后台活动。
10. 连接安全的Wi-Fi：在进行加密货币交易或访问敏感信息时，请避免使用公共Wi-Fi网络。可信、安全的专用网络往往能够帮助您增加安全性。
11. 自我教育：了解最新的网络安全威胁和最佳实践。毕竟，安全意识是抵御加密货币盗窃的第一道防线。

小结

通过采取上述预防措施，并保持谨慎的安全态度，您可以大幅降低成为加密货币窃取的受害者的风险，也能够持续保护您的宝贵数字资产。

译者介绍

陈峻（Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。

原文标题：5 Crypto-Stealing Malware Threats: How to Stay Safe and Aware，作者：@obyte