作者:启明星辰ADLab 原文链接: https://mp.weixin.qq.com/s/PuB0fQ-cHmHUs2_zSef8Ag 一、概述 加密货币一直以来都是黑客们极为热衷的攻击领域,除了攻击加密货币交易平台以获得巨额的经济利益外,还存在大量以窃取加密货币钱包的攻击,启明星辰ADLab近期发现多起以加密货币机器人为诱饵进行加密货币钱包窃取的攻击案例。起初我们注意到一些行为异常的交易机器人(主要以Bitmex Bot 、Trade Bot、UniqueTradingBot为主),这些机器人在安装过程中弹出缺少.NET运行库的错误提示框。而通过调查分析发现,其中多款机器人的官方软件并没有使用.NET进行相关组件的开发。因而进一步分析后,我们发现这些异常的机器人释放并试图执行一些使用C#编写的可执行文件,同时发现一些非官方的网络连接。随后,我们将这些机器人释放的非官方组件一一提取出来做进一步分析和对比,最后确认这是一款新型的具有丰富窃密功能的恶意软件。其中核心组件的大部分类均以“NoiseMe”作为命名空间的起始标志,因而此处我们将该恶意软件命名为“NoiseMe”。其除了具备窃取几乎所有主流加密货币钱包的能力外,还被用于敏感信息(如受害主机的各种登录凭证数据)窃取,进一步黑客还可以利用该恶意软件对受害主机进行定制化的攻击,对不同的受害主机下发不同攻击插件来执行不同的任务
