CryptBot窃密病毒伪装Windows激活程序窃取用户资金
近期,火绒威胁情报系统发现一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户,内含病毒程序,可以获取用户电脑和程序信息并且盗取资金,对用户构成较大安全威胁。
查杀图
火绒工程师对样本进行分析发现,该病毒与CryptBot家族有关。CryptBot是一个窃密软件,最早出现在2019年,主要在Windows系统中通过钓鱼邮件和破解软件进行传播。它能窃取受害者浏览器的敏感信息,获取电脑和已安装程序信息,拍摄上传屏幕截图。
与以往不同的是,此次分析中发现新增了"clipboard hijacker"模块,通过劫持受害者的剪贴板数据,将其中的加密货币地址替换成自己的钱包地址,来盗取资金。该样本病毒流程图,如下所示:
病毒执行流程图
