雖然網絡釣魚仍然是基于惡意軟件基于電子郵件的攻擊中的普遍威脅，但網絡犯罪分子通過添加模擬組件方法來提高其成功率。

Jaxx由加拿大區塊鏈創業公司Decentral所有，是一種流行的加密貨幣錢包，在桌面和移動平臺上的下載量超過120萬。它支持多種類型的硬幣，包括比特幣和以太坊。

區塊鏈安全咨詢公司 曲速未來 消息：至少一個星期，Jaxx加密貨幣錢包網站有一個欺詐版本，提供惡意鏈接誘騙用戶泄露保護虛擬資金的備份短語。

該網站位于jaxx[.]ws，正在使用Cloudflare的內容分發網絡，可能會使其托管服務提供商難以發現。

有安全研究人員在被網絡犯罪活動引起的一系列感染提醒后，于8月30日發現了這一問題。但是，該活動可能已于8月19日開始，這是攻擊者域名的創建日期。

攻擊者希望進行隱身手術

除了注冊可能容易與合法的Jaxx網站，jaxx [.] io以及使用Cloudflare混淆的域名外，攻擊者還會逐行復制原始版本。

在一份報告中有解釋說，對于Jaxx網站的欺騙變種的訪問者幾乎沒有懷疑這個詭計“因為攻擊者在將受害計算機安裝合法錢包軟件時遇到了麻煩”。

但與此同時，Java存檔（JAR）和.NET應用程序形式的macOS或Windows惡意軟件在后臺默默安裝。如果有人要求提供錢包的移動版本，他們就會收到合法文件。

聯系

有惡意軟件研究員講過，Windows惡意軟件可以將文件泄露到命令和控制（C2）服務器，以及下載KPOT Stealer和Clipper，這兩個惡意軟件在俄羅斯地下論壇上銷售。

Clipper的目的是監控數字錢包地址的剪貼板，并用攻擊者控制的其他人替換它們。KPOT竊取器從本地驅動器吸取信息。

macOS JAR文件也指向俄羅斯的犯罪者，因為它是使用俄語IDE（集成開發環境）DevelNext編譯的。

竊取錢包解密短語

當用戶運行JAR文件時，就會看到一條消息，通知無法創建新錢包的技術問題。

接下來，他們被引導到一個請求Jaxx錢包備份短語的應用程序屏幕。這實際上是解密錢包以訪問數字資金的密碼。

“備份短語然后被泄露給攻擊者的網絡服務器，而受害者收到另一個混合的俄語和英語錯誤消息，指出”服務器不可用。請在4小時內再試一次。

啟動.NET應用程序的Windows用戶從Google Docs位置獲取一個聲稱是Jaxx錢包測試版的文件。

安裝后，惡意軟件會將所有本地TXT，DOC和XLS文件發送到C2服務器，最有可能是攻擊者搜索加密貨幣錢包地址。

該操作的下一個階段是下載合法的Jaxx軟件，KPOT竊取程序和Clipper惡意軟件。

Cloudflare暫停了對欺騙網站的服務，Jaxx支持迅速采取行動對付虛假網站，以保護其客戶群。

區塊鏈安全咨詢公司 曲速未來 表示：在與BleepingComputer的對話中，Burbage想要指出這是針對Jaxx錢包用戶的社交工程活動，沒有任何跡象表明Jaxx軟件或其系統中存在漏洞或安全漏洞。