抢币行动:朝鲜黑客全球大肆盗窃加密货币

触发感染链的另一种方法是使用Windows快捷方式文件（“.LNK”）来取得下一阶段的恶意软件，也就是Visual Basic（VB）脚本。作为跳转点，取来的VB脚本执行一系列中间攻击载荷，最后安装上全功能后门。此后门“丰富”的功能包括截屏、键盘记录、Chrome浏览器数据盗窃和任意命令执行。

活动范围

不过，这些攻击的最终目标是监视被黑用户的金融交易并盗取加密货币。只要潜在目标使用Metamask等Chrome扩展来管理加密货币钱包，恶意黑客就能偷偷本地替换掉该浏览器扩展的主要组件，换上他们自己的虚假版本，实时监视受害者的大额转账操作。

为抽取资金，这伙黑客还会注入恶意代码，按需拦截并篡改交易信息。研究人员解释道：“攻击者不仅仅修改收款[钱包]地址，还把转账金额拉到最高限额，基本上一次就榨干受害账户了。”

KnowBe4安全意识倡导者Erich Kron在声明中称：“说到网络犯罪，加密货币行业可谓是重灾区，因为加密货币本质上是去中心化的，而且不同于信用卡或银行转账，加密货币交易几乎瞬时完成，不可逆转。”

“民族国家，尤其是受到严苛关税或其他金融限制的民族国家，可以从盗窃和操纵加密货币上攫取巨大利益。很多情况下加密货币钱包都可以容纳多种加密货币，是很诱人的攻击目标。”

Chainalysis博客文章《非法持币量创历史新高，朝鲜黑客迎来高产丰年》：

https://blog.chainalysis.com/reports/north-korean-hackers-have-prolific-year-as-their-total-unlaundered-cryptocurrency-holdings-reach-all-time-high/

卡巴斯基完整APT报告《BlueNoroff仍在猎取加密货币》：

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/