Open VSX市场现新型"SleepyDuck"恶意软件,可远程控制Windows系统
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
名为SleepyDuck的木马已渗透Open VSX市场,伪装成Solidity扩展,通过域名抢注欺骗用户。该恶意软件可远程访问Windows系统,并利用以太坊区块链保持持久性,攻击者可通过控制服务器发号施令,展示了恶意软件的新演变。
🎯
关键要点
-
名为SleepyDuck的木马已渗透Open VSX市场,伪装成Solidity扩展。
-
该恶意软件利用域名抢注技术欺骗用户,最初发布时看似无害。
-
SleepyDuck能够建立对受感染Windows系统的持久远程访问,保持隐蔽性。
-
恶意软件采用以太坊区块链合约作为持久化机制,确保即使主域名被查封仍能更新控制服务器地址。
-
感染过程在打开新代码编辑器窗口或选择.sol文件时激活,获取关键机器信息以规避安全分析。
-
恶意软件通过区块链存储备用配置数据,确保在连接失败时仍能获取更新的服务器地址。
-
攻击者能够完全远程控制被入侵系统,利用去中心化基础设施保持操作安全性。
❓
延伸问答
SleepyDuck恶意软件是如何伪装的?
SleepyDuck恶意软件伪装成合法的Solidity扩展程序,通过域名抢注技术欺骗用户。
SleepyDuck恶意软件的主要功能是什么?
该恶意软件能够建立对受感染Windows系统的持久远程访问,并保持隐蔽性。
SleepyDuck是如何保持持久性的?
它利用以太坊区块链合约作为持久化机制,即使主域名被查封也能更新控制服务器地址。
感染SleepyDuck恶意软件的过程是怎样的?
感染过程在打开新代码编辑器窗口或选择.sol文件时激活,获取关键机器信息以规避安全分析。
SleepyDuck恶意软件如何与攻击者通信?
恶意软件默认与sleepyduck[.]xyz作为命令控制服务器通信,采用30秒轮询间隔接收指令。
SleepyDuck恶意软件对开发者的威胁是什么?
它通过伪装成Solidity开发工具,最大化加密货币开发者和区块链工程师的受害范围,具有较高的隐蔽性和持久性。
➡️
