上周发生的CrowdStrike更新大当机事故,包含7月23日研究人员表示,一旦使用者执行CrowdStrike Falcon.exe,电脑就会进行解压缩作业,呼叫以Python程式语言打造的窃资软体Connecio。此窃资软体会收集电脑系统资讯、多种浏览器资料,以及系统的外部IP位址资讯。
而这款窃资软体取得与C2连线资讯的方式,是向特定的Pastebin网址取得C2伺服器组态,并借由SMTP邮件帐号,外传窃得的资料。
针对加密货币钱包的部分,这些骇客疑似借由剪贴簿挟持的方式进行,并使用Python程式库来控制受害电脑的剪贴簿。他们借由特定的钱包网址特征进行比对、置换,来盗取受害者的加密货币资产。