最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Solana Phantom安全更新NFT推送密码窃取恶意软件

网络安全 快米云 来源:快米云 68浏览

幻影钱包

黑客正在向 Solana 加密货币所有者空投 NFT,假装对新的 Phantom 安全更新发出警报,该更新导致安装密码窃取恶意软件和盗窃加密货币钱包。

这种持续的攻击始于两周前,名为“PHANTOMUPDATE.COM”或“UPDATEPHANTOM.COM”的 NFT 发出了声称是来自 Phantom 开发人员的警告。

打开 NFT 时,钱包所有者会被告知新的安全更新已发布,他们应该单击随附的链接或访问该站点以下载并安装它。暗网市场BidenCash免费赠送120万张信用卡

“Phantom 要求所有用户更新他们的钱包。这必须尽快完成,”假 Phantom 更新 NFT 中的警告写道。

“如果不这样做,可能会由于黑客利用 Solana 网络而导致资金损失。访问 www.updatePhantom.com 以获取最新的安全更新。”

假 Phantom 安全更新 NFT
Fake Phantom 安全更新 NFT
来源:BleepingComputer

从任何设备(台式机或移动设备)访问这些站点时,该站点会自动从 DropBox下载名为 Phantom_Update_2022-10-08.bat [ VirusTotal ] 的 Windows 批处理文件。以前的活动是下载名为 Phantom_Update_2022-10-04.exe 的可执行文件。

启动批处理文件时,它将检查它是否以管理员权限运行,如果没有,则显示 Windows UAC 提示询问权限。

Windows UAC 提示请求管理员权限
Windows UAC 提示请求管理员权限

如果 UAC 提示被接受,将启动一个 PowerShell 脚本来解密在 Windows 中执行的进一步命令。

从假的 Phantom Update 网站下载的批处理文件
从虚假 Phantom Update 网站下载的批处理文件

最终,这将导致从 GitHub 下载并从 C:\Users\<username>\AppData\Local 文件夹执行的 windll32.exe 可执行文件 [ VirusTotal ]。

安装在 Windows 上的 windll32.exe 恶意软件
安装在 Windows 上的 windll32.exe 恶意软件

根据 VirusTotal 的说法,windll32.exe 文件是一种密码窃取恶意软件,它试图窃取浏览器信息,例如历史记录、cookie 和密码,以及 SSH 密钥和其他信息。 

虽然目前尚不清楚目前正在传播什么特定的密码窃取木马,但之前的活动分发了一个名为 lib64.exe [ VirusTotal ] 的文件,该文件被识别为 MarsStealer

MarsStealer 是一种信息窃取恶意软件,于 2020 年推出,可从所有流行的网络浏览器、双重身份验证插件以及多个加密货币扩展程序和钱包中窃取数据。

该活动的目标可能是窃取加密货币钱包和密码,从而使威胁行为者能够窃取所有加密货币并破坏属于受害者的其他帐户。

安装虚假 Phantom 安全更新的受害者应立即使用防病毒程序扫描他们的计算机,然后将加密资金和资产从他们现有的 Phantom 钱包转移到新钱包。

接下来,受害者应该在他们使用的所有网站上更改密码,重点关注加密货币交易平台、在线钱包、银行账户、电子邮件或其他敏感平台。

最终,受害者应该将他们访问的每个站点的密码更改为唯一的密码,以防止一个站点的凭据泄漏影响其他站点。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Solana Phantom安全更新NFT推送密码窃取恶意软件