کیف پول ارز دیجیتالی Jaxx با حمله فیشینگی مواجه شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تقریبا به مدت یک هفته، یک نسخه جعلی از وبسایت کیف پول ارز دیجیتالی Jaxx توسط مهاجمان ایجاد شده و در دسترس قرار گرفتهاست که در آن لینکهای مخربی برای وادار کردن کاربران به افشای عبارت امنیتی پشتیبان ارزهای مجازی آنها، ارائه شدهاست.
این حمله در ۳۰ آگوست (۸ شهریور) آغاز و توسط پژوهشگران امنیتی Flashpoint کشف شدهاست. هرچند که دامنه ایجاد شده توسط مهاجم در ۱۹ آگوست (۲۸ مرداد) ثبت شدهاست.
مهاجمان دامنهای مشابه دامنه اصلی Jaxx ایجاد و این وبسایت را خطبهخط کپی کردند. همچنین نسخه مخرب برنامه کیف پول برای دسکتاپ نیز در سایت جعلی قرار داده شدهاست. در هنگام نصب برنامه در سیستم قربانی بدافزاری برای macOS و ویندوز در قالب برنامه جاوا (JAR) و NET. در پسزمینه نصب میشود. در ویندوز دو بدافزار KPOT Stealer و Clipper منتقل میشوند که برای سرقت اطلاعات و نظارت بر کلیپبورد استفاده میشوند. دامنه جعلی استفاده شده در حمله توسط hostlast[.]ru میزبانی میشود.
زمانی که قربانی فایل JAR را اجرا میکند، پیغامی را مبنی بر وجود یک اشکال فنی مشاهده و سپس کاربر را به صفحه هدایت میکند که از وی عبارت امنیتی پشتیبان را درخواست میکند. با داشتن این عبارت مهاجم میتواند به ارزهای قربانی دسترسی پیدا کند.
کاربران ویندوز پس از اجرای برنامه NET. فایلی را در قالب نسخه بتای کیف پول Jaxx دریافت میکنند. پس از نصب این فایل، تمامی فایلهای TXT، DOC و XLS محلی قربانی به سرور C&C ارسال میشوند تا قربانی از آنها آدرسهای کیف پول ارزهای دیجیتالی را استخراج کند.
لازم به ذکر است که این حمله از طریق روشهای مهندسی اجتماعی و فیشینگ انجام شده و هیچ آسیبپذیری یا حفره امنیتی در نرمافزار یا سایت Jaxx وجود نداشتهاست.