公众号：慢雾分析：门罗币钱包之“狸猫换太子” 而且用户被盗大

公众号：慢雾分析：门罗币钱包之“狸猫换太子”

而且用户被盗大概价值 7000 美金的门罗币。

慢雾安全团队第一时间发布预警并进行了相关安全分析与溯源：

在 Reddit 上的反馈地址：

GitHub 上的讨论地址：

用户 nikitasius 提供了能够检索到的恶意二进制文件信息：

此二进制文件是有以下属性的 ELF 文件：

对比合法文件和此 ELF 文件时，我们发现文件大小有所不同，并添加了一些新功能代码，如：

在打开或创建新钱包后会立即调用此功能，进行如下图所示的操作：

私钥将会被发送到：node.hashmonero.com

该功能会将数据发送到 CC 或 C2（命令控制服务器）服务器，从而窃取用户资产。

从分析来看，似乎并没有创建任何其他文件或文件夹，只是窃取私钥并试图从钱包中盗走资产。

Windows 版实际上与 Linux 版有相同的功能: 窃取私钥和钱包资产。

如果你有使用防火墙或代理（硬件或软件），请验证是否有网络流量与以下域名、IP发生连接：

什么是哈希？哈希是唯一的标识符。这可以是一个文件、一个单词等，最好使用 SHA256 哈希进行文件检查。

你还可以使用以下 Yara 规则来检测恶意或受感染的二进制文件：

安装杀毒软件，并尽可能使用防火墙（免费或付费的都行）；

如果已经在使用防病毒软件：使用 Monero（或其他矿工）时，最好不要在防病毒软件中排除特定的文件夹，如果需要，请在验证 hash 值之后再使用；

重置你的种子或帐户；

监视你的帐户/钱包，确认没有恶意交易。如果有，随时联系门罗团队以获取支持。

门罗官方团队声明：

慢雾团队提醒：

针对供应链攻击，鉴于开发、运维人员安全意识不足等问题，慢雾安全团队很久之前已经预见了这类攻击的可能性，Monero 不是第一个受到攻击的加密货币或钱包，也不可能是最后一个受到攻击的加密货币或钱包。

所以请官方人员注意自身账户安全，请使用强密码，并且一定尽可能使用 MFA（或2FA），时刻保持安全意识；针对各类应用程序有可用新版本更新时注意验证 hash 值。

有问题可以第一时间邮件联系慢雾安全团队 team@slowmist.com

作为中国最早专注于区块链生态安全的公司，慢雾科技已经为全球多家领先的数字货币交易所、钱包、底层公链、智能合约等项目做了安全审计及防御部署。慢雾科技的安全解决方案包括：安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品。