徐强

网络犯罪分子正在尝试各种各样的方法来将他们的“罪恶之手”伸向广大用户的加密货币钱包。研究人员发现，攻击者正在利用能够劫持浏览器（中间人攻击的一种）的恶意软件来劫持目标用户的在线账号，并实时进行欺诈交易，而这种攻击技术名为WebInjects，即Web注入。

向目标站点中注入恶意脚本

从2018年年初开始，来自SecurityScorecard的研究人员发现了两个僵尸网络，这两个僵尸网络分别由ZeusPanda和Ramnit恶意软件家族驱动，主要针对的是Coinbase.com和Blockchain.info这两款加密貨币钱包。

当用户在访问那些受这种恶意软件感染的网站时，恶意软件能够检测到用户的访问活动，并在后台悄悄注入经过混淆处理的恶意脚本，然后修改目标页面中所的呈现内容。

如果目标站点是Coinbase的话，恶意脚本会让原网站中邮件地址和密码的输入文本域失效，并创建一个新的恶意按钮然后叠加在“登录”按钮之上。这样一来，当用户输入了登录凭证并按下所谓的“提交”按钮之后，他们会认为自己完成了登录，但此时他们的凭证信息将发送给攻击者所控制的服务器。实际上，恶意软件还会假装登录受限，并要求用户进一步完成双因素身份验证。

当攻击者获取到目标用户的凭证数据之后，攻击者会利用这些数据来访问用户账号，并修改相应的安全设置以便进行之后的欺诈交易。研究人员Catalin Valeriu和Doina Cosovan解释称：“在大多数情况下，攻击者在获取到凭证之后，需要立刻使用数据来访问用户账号。尤其是WebInjects攻击在实现针对加密货币钱包的欺诈交易时，往往在登录账号之前需要完成双因素验证，因此攻击者在拿到凭证之后需要立刻响应并获取用户的双因素验证码。在此之前，老版本的Zeus恶意软件会使用Jabber即时消息软件来告知僵尸网络管理员成功接收到了用户凭证，但这种新型的恶意软件变种似乎使用的也是类似的机制。”

有趣的是，当攻击者成功修改了目标账号的安全设置之后，他们还可以通过屏蔽设置页面和错误信息来确保用户不会把设置改回来。

研究人员表示，当攻击者禁用了目标账号的多因素验证功能并且用户无法访问设置页面后，攻击者就可以随意进行各种加密货币交易了。

根据研究人员对当前恶意软件变种的分析结果显示，目前WebInjects还不能自动化完成加密货币窃取或交易。很明显，攻击者现在的主要目标是入侵用户账号并通过修改安全设置以备后续入侵。但是研究人员表示攻击者迟早会实现自动化的加密货币窃取，一切只是时间问题。

这种攻击技术还可以用来入侵Blockchain.info钱包。在这种攻击场景下，攻击者同样需要给目标用户呈现伪造的登录页面。

完成登录之后，恶意脚本会迅速初始化一个交易页面，并用伪造的加密货币钱包地址替换原始的合法地址，然后修改交易的加密货币类型以及金额。当用户完成了加密货币交易之后，恶意脚本会发送一个通知并告诉用户当前服务不可用，而此时用户根本不会意识到自己的钱包已经被“榨干”了。

如何保护用户的安全？

随着加密货币生态系统的不断成长，针对加密货币的恶意软件也会随之发展壮大。虽然本文所分析的恶意软件变种只会对Coinbase.co以及Blockchain.info这两款加密货币钱包进行攻击，但其他的WebInjects变种很可能会转向其他的加密货币交易所。

广大用户可以查看自己的加密货币交易账号是否可以正常访问安全设置页面，是否收到了莫名其妙的多因素验证消息，或者是否收到了“服务不可用”的通知来判断自己是否受到了影响。如果你觉得自己的账号已经被入侵，请立刻在其他电脑上修改自己的密码。因为很多恶意软件会在入侵目标设备后实现持久化感染，因此同一设备很可能仍然是不安全的。