Attenzione, malware che vi cambia l'indirizzo di deposito di btc-e!

[ReDPoiSoN]

Volevo mettere in guardia coloro che usano btc-e.com perchè mi è successa una cosa che mi fa veramente innervosire!
Ho fatto come al solito il login sul suddetto exchange e sono andato nella mia pagina dove posso versare i bitcoin. Ho preso l'indirizzo che visualizzavo nella pagina e ho mandato i btc. Dopo un po' di tempo che non arrivavano ho contattato il supporto. Io sostenevo che quello fosse il mio address, loro mi dicevano che era completamente diverso da quello che vedevano loro! Morale, un malware mi fa visualizzare un indirizzo differente in modo da rubarmi ciò che verso sull'account! Per fortuna ci ho smenato poco:

https://blockchain.info/address/182xSy5ZWJ2QDVq3KVv2XSmSzuRVi5jibQ

Ma fate attenzione, perchè proprio non me lo sarei mai immaginato, avrei potuto versarci tranquillamente cifre più grosse! La prova del nove è stata collegarmi con il cellulare, e infatti in quel caso l'indirizzo di versamento è completamente diverso! Prima di fare grossi versamenti fate una prova!
Non ho ancora individuato il malware, appena riesco ad avere maggiori dettagli aggiorno il topic! In ogni caso, stavo usando Chrome.

Spero che questo post possa evitare a qualcun altro di cadere nella trappola!

[marioantonini]

Ma che miserabili, mi dispiace molto RED.
Hai fatto caso se te lo fa solo con btc-e o anche con altri siti ? O magari direttamente con i wallet (cioè se usi per esempio electrum o multibit, ti mette direttamente un indirizzo quando fai invio?

[brutale2]

Ne ho già sentito parlare, si tratta di un virus che modifica gli indirizzi btc quando fai copia+incolla, tu credi di aver incollato l'indirizzo giusto ma in realtà viene sostituito con quello degli hacker, in questo modo sono loro a ricevere le monete. Non c'entra l'exchange, hai il pc infetto fai una scansione approfondita  

[LastRoby]

allucinante..
se ne inventano di tutte per rubare..
alla fine dobbiamo dare la giusta attenzione quando entriamo negli exchange da pc .. stiamo parlando di BTC = soldi.. quindi meglio essere paranoici delle volte..

[ReDPoiSoN]

Ma che miserabili, mi dispiace molto RED.
Hai fatto caso se te lo fa solo con btc-e o anche con altri siti ? O magari direttamente con i wallet (cioè se usi per esempio electrum o multibit, ti mette direttamente un indirizzo quando fai invio?

Per ora solo con btc-e! Multibit è corretto!

Ne ho già sentito parlare, si tratta di un virus che modifica gli indirizzi btc quando fai copia+incolla, tu credi di aver incollato l'indirizzo giusto ma in realtà viene sostituito con quello degli hacker, in questo modo sono loro a ricevere le monete. Non c'entra l'exchange, hai il pc infetto fai una scansione approfondita  

No, non avviene la modifica durante il copia/incolla! Io sulla pagina web visualizzo già l'address degli hacker!! E' ancora più difficile scoprirlo così.. Almeno fino a quando non ci versi su dei btc! Infatti io non riuscivo a capire.. Quando mi hanno risposto la prima volta, mi hanno detto "guarda che a noi quell'address non risulta, non è quello associato al tuo account!", e io come risposta gli ho mandato uno screenshot della pagina come dire, mi state prendendo in giro?! E invece no.. Io visualizzavo l'account hackerato, mentre se facevo il login dal telefono vedevo un altro indirizzo! Deve essere qualche script o add-on di Chrome!!

Sono appena tornato da una giornata impegnativa e adesso esco ancora, fino a domani non avrò tempo di guardarci, quando capirò esattamente cos'è aggiornerò il topic nella speranza di salvare qualcun altro!

[brutale2]

Non ho capito bene, si tratta allora di una pagina clonata? 

[marioantonini]

Quindi in pratica ti crea una finta pagina per btc-e . E' complicato scoprire una cosa simile

[ReDPoiSoN]

Non ho capito bene, si tratta allora di una pagina clonata? 

In pratica è tutto normale tranne per il fatto che qualche malware mi sostituisce il mio indirizzo per versare, con quello di un altro! Per il resto io navigo e faccio trading nel sito, non è l'intera pagina ad essere clonata! Io sono effettivamente su btc-e.com, ma quando visualizzo la pagina con l'indirizzo di versamento, qualcosa lo sostituisce con un altro! Ma solo quella parte della pagina!

[jjc326]

Cavolo mi spiace molto.. Grazie per la segnalazione cmq, tocca stare sempre attenti! Questo malware è proprio ******! 

[marioantonini]

Ma è assurdo, come fa? Capivo se ti metteva un finta finta pagina di btc-e ma addirittura cambiarlo così penso che sia abbastanza complicato.
Certo che sta gente se ha cervello per fare ste cose, lo usasse per creare qualcosa di costruttivo.
Red facci sapere con qualche scansione se ti rileva qualcosa

[ReDPoiSoN]

Sto impazzendo.. La situazione iniziale era:

Mi collego con il mio computer con Chrome --> vedo indirizzo falso.
Mi collego un secondo dopo con il cellulare, o con internet explorer --> vedo indirizzo reale.

Adesso sono tornato a casa e non avevo fatto ancora niente:

Mi collego con il mio computer con Chrome --> vedo un terzo indirizzo completamente diverso dai due precedenti.
Mi collego un secondo dopo con il cellulare, o con internet explorer --> vedo lo stesso indirizzo di cui sopra.

In pratica è come se adesso il malware fosse inattivo.. Quando ho scritto inizialmente a btc-e per chiedere chiarimenti, mi hanno risposto così:

Dear XXX, Coin wallet 182xSy5ZWJ2QDVq3KVv2XSmSzuRVi5jibQ does not and has never been listed as address for BTC deposit for account XXX@hotmail.it If you saw this address in BTC-e profile - there must be a malicious software (such a a browser add-on) that change the actual address for deposit to 182xSy5ZWJ2QDVq3KVv2XSmSzuRVi5jibQ Disable all browser add-ons and never use them for web browser, which you use to access your BTC-e account and check your computed for viruses. We're sorry, we cannot refund these coins. If you have further questions, do not hesitate to contact us again. Best Regards, BTC-e Support Knowledge Base http://bit.ly/BTC-e-Support

Non so più che fare! Consigli su software da usare per fare una scansione?!

[Jason_Bourne]

disabilita tutte le estensioni di chrome e vedi se compare ancora l'indirizzo fasullo.

[LastRoby]

Ciao red,
Prova a scaricare e installare una distro live su usb..
E vedi un po' il resto da li..
Provato?

[bloodDiamond]

ciao red.

potresto provare a vedere da crhome il codice vero e proprio della pagina utilizzando i tool di sviluppo di chrome...

basta che fai F12 e vedi proprio il sorgente della pagina sulla quale stai navigando, link compresi.
magari riesci a capire se c'è qualche cosa di strano...
tienici aggiornati!!!

[lucolo]

Qualcuno che si è beccato il malware è riuscito a rimuoverlo? In che modo?

[bloodDiamond]

Qualcuno che si è beccato il malware è riuscito a rimuoverlo? In che modo?

più che altro c'è qualcuno che ha capito come ha fatto a beccarlo???
voglio dire qua si sta parlando di sezioni html rimpiazzate al volo sulla pagina su cui si sta navigando!!!

non è proprio un virus comune!

[redsn0w]

Qualcuno che si è beccato il malware è riuscito a rimuoverlo? In che modo?

più che altro c'è qualcuno che ha capito come ha fatto a beccarlo???
voglio dire qua si sta parlando di sezioni html rimpiazzate al volo sulla pagina su cui si sta navigando!!!

non è proprio un virus comune!

Sicuramente per colpa di qualche  wallet/client infettato , è sempre consigliato scansionarlo prima di eseguirlo.

[Haruko]

Qualcuno che si è beccato il malware è riuscito a rimuoverlo? In che modo?

più che altro c'è qualcuno che ha capito come ha fatto a beccarlo???
voglio dire qua si sta parlando di sezioni html rimpiazzate al volo sulla pagina su cui si sta navigando!!!

non è proprio un virus comune!

Sicuramente per colpa di qualche  wallet/client infettato , è sempre consigliato scansionarlo prima di eseguirlo.

quoto!!!

meglio ancora sarebbe compilarselo... e dare un'occhiata al codice sorgente...

solo che bisogna avere il know how sufficiente!

non sarebbe male se qualcuno mettesse un tutorial per compilare su winzoz con roba tipo Ming i wallet rilasciati..

[ReDPoiSoN]

Resoconto:

Ho scansionato tutto il sistema accuratamente ed è risultato questo:

PUP.Optional.AZlyrics.A

Per maggiori info:
http://blog.yoocare.com/pup-optional-azlyrics-a-removal-guide/

Probabilmente quello è stato il mezzo che ha permesso al malintenzionato di andare a fare quello che voleva..

Adesso formatto tutto, mi sembra più sicuro che cercare di eliminare il malware, e soprattutto faccio prima..! Spero sia utile a qualcuno!

[Haruko]

Resoconto:

Ho scansionato tutto il sistema accuratamente ed è risultato questo:

PUP.Optional.AZlyrics.A

Per maggiori info:
http://blog.yoocare.com/pup-optional-azlyrics-a-removal-guide/

Probabilmente quello è stato il mezzo che ha permesso al malintenzionato di andare a fare quello che voleva..

Adesso formatto tutto, mi sembra più sicuro che cercare di eliminare il malware, e soprattutto faccio prima..! Spero sia utile a qualcuno!

se posso...

con che tool lo hai rilevato???

penso potrebbe essere una info utile a tutti!!!