حمله فیشینگ به یک کیف پول ارز دیجیتالی

به گزارش کارگروه امنیت سایبربان؛ تقریبا به مدت یک هفته، یک نسخه جعلی از وب سایت کیف پول ارز دیجیتالی Jaxx توسط مهاجین ایجاد شده و در دسترس قرار گرفته است که در آن لینک‌های مخربی برای وادار کردن کاربران به افشا عبارت امنیتی پشتیبان ارزهای مجازی آن‌ها، ارائه شده است.
این حمله در ۳۰ آگوست  آغاز و توسط پژوهشگران امنیتی Flashpoint کشف شده است. هرچند که دامنه ایجاد شده توسط مهاجم در ۱۹ آگوست ثبت شده است.
مهاجمین دامنه‌ای مشابه دامنه اصلی Jaxx ایجاد و این وبسایت را خط به خط کپی کردند. همچنین نسخه مخرب برنامه کیف پول برای دسکتاپ نیز در سایت جعلی قرار داده شده است. در هنگام نصب برنامه در سیستم قربانی بدافزاری برای macOS و ویندوز در قالب برنامه جاوا (JAR) و .NET در پس‌زمینه نصب می‌شود. در ویندوز دو بدافزار KPOT Stealer و Clipper منتقل می‌شوند که برای سرقت اطلاعات و نظارت بر کلیپ‌برد استفاده می‌شوند.دامنه جعلی استفاده شده در حمله توسط hostlast[.]ru میزبانی می‌شود.
زمانی که قربانی فایل JAR را اجرا می‌کند، پیغامی را مبنی بر وجود یک اشکال فنی مشاهده و سپس کاربر را به صفحه هدایت می‌کند که از وی عبارت امنیتی پشتیبان را درخواست می‌کند. با داشتن این عبارت مهاجم می‌تواند به ارزهای قربانی دسترسی پیدا کند.
کاربران ویندوز پس از اجرا برنامه NET. فایلی را در قالب نسخه بتا کیف پول Jaxx دریافت می‌کنند. پس از نصب این فایل، تمامی فایل‌های TXT، DOC و XLS محلی قربانی به سرور C&C ارسال می‌شوند تا قربانی از آن‌ها آدرس‌های کیف پول ارزهای دیجیتالی را استخراج کند.
لازم به ذکر است که این حمله از طریق روش‌های مهندسی اجتماعی و فیشینگ انجام شده و هیچ آسیب‌پذیری یا حفره امنیتی در نرم‌افزار یا سایت Jaxx وجود نداشته است.