'新的Windows惡意軟件也可以暴力破解WordPress網站'

一種新的惡意軟件clipsa在過去的一年裡一直在傳播，感染了來自世界各地的用戶。

這一惡意軟件的突出特點是，除了傳統的惡意軟件功能（例如竊取加密貨幣錢包文件、安裝加密貨幣礦工以及劫持用戶剪貼板以替換加密貨幣地址）之外，clipsa還包含一個有些奇怪的功能，即允許它對WordPress網站發起暴力攻擊。

這種行為很奇怪，主要是因為大多數針對WordPress站點的暴力攻擊都是由受感染的服務器或物聯網設備的殭屍網絡執行的。

看到桌面惡意軟件對WordPress網站發起暴力攻擊並不新鮮，但clipsa很奇怪而且非常罕見。

“雖然我們不能確定，但我們相信clipsa背後的壞人從被破壞的（wordpress）網站竊取了更多的數據，”avast惡意軟件研究人員JanRub_n說，他在本週早些時候發表的clipsa功能的技術深度研究。

他說：“我們還懷疑他們使用受感染的（wordpress）網站作為二級C&C服務器，為礦工提供下載鏈接，或者上傳和存儲被盜數據。”

Clipsa對加密貨幣的痴迷

但是，儘管對WordPress網站發起暴力攻擊是一個有趣的功能，Clipsa的主要關注點無疑是加密貨幣及其用戶。

首先，惡意軟件會掃描受害者的電腦中的wallet.dat文件。這些是加密貨幣錢包應用程序的數據庫文件。裡面的數據允許任何人從錢包的主人那裡劫持資金。clipsa標識這些文件，然後將它們上載到遠程服務器。

其次，clipsa還搜索txt文件，它將打開該文件，並搜索bip-39格式的字符串。這種文本模式主要用於存儲比特幣助記種子恢復短語，也就是有時用作加密貨幣錢包密碼的單詞序列。如果發現任何此類模式，惡意軟件會將這些文本保存到另一個文件，並將其上載到其C&C服務器，以便日後用於破解被盜的wallet.dat文件。

第三，惡意軟件還安裝了一個監視用戶操作系統剪貼板的進程（複製/剪切數據在粘貼之前存儲在那裡）。此過程監視用戶複製或剪切看起來像比特幣或以太坊地址的文本模式的事件。Clipsa隨後會搬進來用它的一個運營商替換這個地址，希望劫持被感染用戶可能支付的任何款項。

第四，在某些情況下，avast說clipsa還將在受感染的主機上部署xmrig。Xmrig是一個開源應用程序，用於挖掘Monero加密貨幣。通過部署xmrig，clipsa運營商將在具有強大硬件配置的計算機上獲得額外資金。

感染統計

Avast表示，自去年（2018年8月1日）以來，他們的抗病毒產品組已經阻止了超過253000名用戶試圖感染Clipsa。

雖然該公司的統計數據提供了一個狹隘的觀點，因為他們來自有限數量的防病毒裝置，統計數據顯示Clipsa的範圍，感染來自世界各地。

據阿瓦斯特所說，在印度、孟加拉國、菲律賓、巴西、巴基斯坦、西班牙和意大利等國，檢測到的clipsa最多。

Avast表示，clipsa感染的主要來源似乎是用戶從互聯網下載的媒體播放器的編解碼器包安裝程序。

由於惡意下載鏈接一次可在線使用數月，這也解釋了為什麼clipsa檢測以恆定的速度被檢測到，而不是在大集群中檢測到，這標誌著惡意軟件正通過大型電子郵件垃圾郵件活動進行分發。

此外，clipsa背後的集團似乎也在盈利，這意味著我們將在未來看到更多的惡意軟件。

Avast說，它分析了clipsa過去使用的9412個比特幣地址的餘額。czecz殺毒軟件製造商表示，clipsa運營商從117個地址內收到的資金中賺取了近3比特幣。這大約是每年35000美元，僅僅是通過劫持受感染用戶的剪貼板。

然而，如果我們把竊取的wallet.dat文件和在用戶計算機上挖掘monero所獲得的資金加起來，惡意軟件的運營商可能會賺更多的錢。

"

一種新的惡意軟件clipsa在過去的一年裡一直在傳播，感染了來自世界各地的用戶。

這一惡意軟件的突出特點是，除了傳統的惡意軟件功能（例如竊取加密貨幣錢包文件、安裝加密貨幣礦工以及劫持用戶剪貼板以替換加密貨幣地址）之外，clipsa還包含一個有些奇怪的功能，即允許它對WordPress網站發起暴力攻擊。

這種行為很奇怪，主要是因為大多數針對WordPress站點的暴力攻擊都是由受感染的服務器或物聯網設備的殭屍網絡執行的。

看到桌面惡意軟件對WordPress網站發起暴力攻擊並不新鮮，但clipsa很奇怪而且非常罕見。

“雖然我們不能確定，但我們相信clipsa背後的壞人從被破壞的（wordpress）網站竊取了更多的數據，”avast惡意軟件研究人員JanRub_n說，他在本週早些時候發表的clipsa功能的技術深度研究。

他說：“我們還懷疑他們使用受感染的（wordpress）網站作為二級C&C服務器，為礦工提供下載鏈接，或者上傳和存儲被盜數據。”

Clipsa對加密貨幣的痴迷

但是，儘管對WordPress網站發起暴力攻擊是一個有趣的功能，Clipsa的主要關注點無疑是加密貨幣及其用戶。

首先，惡意軟件會掃描受害者的電腦中的wallet.dat文件。這些是加密貨幣錢包應用程序的數據庫文件。裡面的數據允許任何人從錢包的主人那裡劫持資金。clipsa標識這些文件，然後將它們上載到遠程服務器。

其次，clipsa還搜索txt文件，它將打開該文件，並搜索bip-39格式的字符串。這種文本模式主要用於存儲比特幣助記種子恢復短語，也就是有時用作加密貨幣錢包密碼的單詞序列。如果發現任何此類模式，惡意軟件會將這些文本保存到另一個文件，並將其上載到其C&C服務器，以便日後用於破解被盜的wallet.dat文件。

第三，惡意軟件還安裝了一個監視用戶操作系統剪貼板的進程（複製/剪切數據在粘貼之前存儲在那裡）。此過程監視用戶複製或剪切看起來像比特幣或以太坊地址的文本模式的事件。Clipsa隨後會搬進來用它的一個運營商替換這個地址，希望劫持被感染用戶可能支付的任何款項。

第四，在某些情況下，avast說clipsa還將在受感染的主機上部署xmrig。Xmrig是一個開源應用程序，用於挖掘Monero加密貨幣。通過部署xmrig，clipsa運營商將在具有強大硬件配置的計算機上獲得額外資金。

感染統計

Avast表示，自去年（2018年8月1日）以來，他們的抗病毒產品組已經阻止了超過253000名用戶試圖感染Clipsa。

雖然該公司的統計數據提供了一個狹隘的觀點，因為他們來自有限數量的防病毒裝置，統計數據顯示Clipsa的範圍，感染來自世界各地。

據阿瓦斯特所說，在印度、孟加拉國、菲律賓、巴西、巴基斯坦、西班牙和意大利等國，檢測到的clipsa最多。

Avast表示，clipsa感染的主要來源似乎是用戶從互聯網下載的媒體播放器的編解碼器包安裝程序。

由於惡意下載鏈接一次可在線使用數月，這也解釋了為什麼clipsa檢測以恆定的速度被檢測到，而不是在大集群中檢測到，這標誌著惡意軟件正通過大型電子郵件垃圾郵件活動進行分發。

此外，clipsa背後的集團似乎也在盈利，這意味著我們將在未來看到更多的惡意軟件。

Avast說，它分析了clipsa過去使用的9412個比特幣地址的餘額。czecz殺毒軟件製造商表示，clipsa運營商從117個地址內收到的資金中賺取了近3比特幣。這大約是每年35000美元，僅僅是通過劫持受感染用戶的剪貼板。

然而，如果我們把竊取的wallet.dat文件和在用戶計算機上挖掘monero所獲得的資金加起來，惡意軟件的運營商可能會賺更多的錢。

"