随着加密货币的黑产业链的兴起，目前黑客得到这些货币的方式有两种，一种是想方设法的来利用用户的计算机帮助他们挖矿，而另一种则更直接，干脆明强，通过直接劫持用户的加密货币账户，来进行欺诈。最新的一个恶意软件通过加入Man-in-the-Browser（一种中间人攻击技术）功能来劫持加密货币账户，研究人员将其称为WebInjects技术即网络注入技术。

通过恶意脚本注入劫持账户的过程

自今年年初以来，SecurityScorecard的研究人员已经观察到两个由Zeus Panda和Ramnit恶意软件家族发起的僵尸网络攻击，它们分别针对Coinbase平台的帐户（Coinbase.com）和Blockchain钱包（Blockchain.info）。

除了平常所见的攻击性能外，这个恶意软件还能够检测用户访问这两个网站的具体时间，并在其中悄悄注入经过混淆的脚本，当用户的登录页面被混淆脚本攻击后，用户所看到内容其实就是假内容即黑客进行钓鱼攻击的内容。

当用户的访问目标是Coinbase（一家比特币公司）时，这个混淆的脚本就会立马运行，让用户在黑客们伪造的登录页面上输入电子邮件和密码，具体过程如下：

1.当用户要在正常的登录页面输入电子邮件和密码时，恶意软件先会屏蔽用户的输入内容；

2.此时，恶意软件会将黑客预先创建的登录页面叠加在正常的登录页面，实施钓鱼攻击；

3.当用户输入登录凭证后，黑客即可在后台获取这些登录信息，劫持用户的加密货币账户。

这还不算完，此时，恶意软件还会故意制造一些登录过程中的问题，如下图所示，此时，黑客会要求用户进行双因素身份验证。

当用户傻乎乎的输入二次验证码时，攻击者就可以绕过最后的防线，不但可以使用被盗的凭证信息访问用户的账户还能修改账号交易的全部安全设置。

对此，研究人员Catalin Valeriu和Doina Cosovan表示：

由于要使用双因素验证码来对用户的账号进行暂时性设置，所以在大多数情况下，攻击者在通过伪造的登录页面获取登录凭证之后，需要快速使用数据来进入用户的账号进行相关操作。这样就能防止用户起疑，因为在用户真正进入账户之前，如果攻击者还未进行成功设置则攻击就失败。在此之前，老版本的Zeus恶意软件会使用Jabber即时消息软件来告知僵尸背后的幕后操作者，他们成功接收到了用户凭证，从而让攻击者迅速做出行动。从目前对这个网络注入的恶意软件分析来看，它很可能也有类似的通知提示机制。

有趣的是，当用户的账户交易安全设置被更改之后，攻击者还可以通过阻止用户访问设置页面并显示错误消息来确保用户不能在短时间内更改攻击者已经设置的选项。

Catalin Valeriu和Doina Cosovan表示：

如果攻击者把安全选中的双因素身份验证给禁用，再加上用户也无法在短期内访问设置页面，那在不引起用户注意的情况下，攻击者就可以随意利用所劫持的加密货币账户进行交易了，比如把你的加密货币转给其他账户等。

不过就目前而言，这种通过加入Man-in-the-Browser功能来劫持加密货币账户的技术还没有完全成熟。比如，目前在劫持了用户的账号并修改完安全设置后，剩余资金交易和转账的操作都还必须靠幕后的操作人员来手动完成，还没有实现自动化操作。显然，攻击者目前的主要目标仅仅是劫持用户账号后修改安全设置。他们可能认为，只要安全设置被更改了，至于盗窃多少资金，全看心情。但是，研究人员认为攻击者迟早会实现自动窃取资金的功能。

下图就是攻击者通过脚本注入来劫持用户登录的Blockchain.info页面：

当用户在访问Blockchain.info登录页面时，攻击者通过脚本注入伪造页面出有关登录出现差错的提示，让用户耐心等待修复。就在用户等待修复的期间，此时攻击者注入的脚本会立即将正规的登录页面替换成伪造页面。在用户的登录凭证被窃取后，如果用户设置了双因素身份验证，则会再次被要求提供验证码。这样注入的脚本将会从用户的账号中提取PIN值，然后将该值修改，从而赋予账户操作的权限。

不过为了保证账户盗窃能顺利完成，攻击者会向受害者显示一条所谓提示消息，称登录服务当前不可用。

缓解措施

随着加密货币生态系统和经济规模的增长，与此相关的恶意软件产业和技术也随之增长。虽然本文提到的这个恶意软件仅针对Coinbase.co和Blockchain.info，但很快，就会有利用WebInjects针对其他钱包和平台的变体出现。

WebInjects攻击技术对攻击者很有吸引力，因为它不但允许攻击者快速根据攻击目标调整代码来适应新的攻击服务。

建议用户在登录与资金相关的账号时，注意登录页面的官网是否是正式网站以防被钓鱼，再一个就是对需要双因素验证的登录保持警惕，因为正常情况下的登陆操作是不需要进行这个过程的，还有就是对一些莫名其妙的通知信息，如“服务不可用”等保持警惕。

Valeriu和Cosovan建议：

如果你怀疑你的账户已经被破坏，那就立即在另外一台计算机上登录你的账户，并更改密码，因为目前该恶意软件还不可能同时对不同设备上的同一账号进行攻击。

由于该恶意软件一旦感染了你的设备，其就会获得攻击持久性，要想通过一般的方法防范它很难，唯一的办法就是重装系统。

另外，几年前，当银行类恶意软件盛行时，通常都被要求使用“Live CD”进行网上银行业务。Live CD，又译为自生系统，是事先存储于某种可移动存储设备上，可不特定于计算机硬件（non-hardware-specific）而启动的操作系统（通常亦包括一些其他软件），不需安装至计算机的本地外部存储器——硬盘。采用的介质包括CD-ROM（Live CD），DVD（Live DVD），闪存盘（Live USB）甚至是软盘等。退出自生系统并重启后，电脑就可以恢复到原本的操作系统。

因此Valeriu和Cosovan认为，这个方法目前也适用于防护加密货币的业务。