Check Point：僵尸网络变种病毒 Twizt 已盗取价值 50 万美元的加密货币

全球网络安全解决方案领导厂商Check Point® Software Technologies Ltd.（NASDAQ股票代码：CHKP）的威胁情报部门Check Point Research，近期发现了一种僵尸网络变种病毒Twizt，成功透过Crypto Clipping的攻击手法窃取了价值近50万美元的加密货币;此病毒是变异自僵尸网络病毒 Phorpiex，自动将原先的钱包地址替换为攻击者的钱包地址，于交易过程中窃取加密货币，且无需连线 C&C 服务器，能够越过安全机制。 Check Point Research 提醒加密货币交易者注意转账的钱包地址，目前已有969笔交易被拦截，此数字仍不断增长。

Phorpiex 是一种因性勒索和挖矿劫持（crypto-jacking）而广为人知的僵尸网络;Check Point Research 发现的 Phorpiex 新型变种病毒 Twizt，无需连接 C&C 服务器即可运作，意即感染的每台电脑皆能扩大僵尸网络的范围。目前估计 Twizt 已经窃取价值近 50 万美元的加密货币，Check Point Research 相信该僵尸网络具备的新特性将使其更加稳定，也更加危险。

Twizt 的攻击
流程 Twizt 使用 Crypto Clipping 技术，利用可自动将目标钱包地址替换为攻击者钱包地址的恶意软件，于交易过程中窃取加密货币，使资金落入不法之徒手中。

影响范围
在2020年11月至2021年11月一年间，Phorpiex共劫持了969笔交易，窃取了3.64比特币、55.87以太币及价值5.5万美元的ERC-20代币;依目前市值计算，被盗资产的价值将近50万美元。 Phorpiex 也曾多次成功劫持巨额交易，其中最大笔的金额为 26 以太币。

Check Point Software 网络安全研究与创新经理 Alexander Chailytko 表示：「Phorpiex 的新型变种病毒有三个主要风险。首先，Twizt 采用了点对点模型（Peer-to-peer model），可接收来自其他数千台受感染机器的命令和更新，因此更加难以被摧毁及中断其运行，使得 Twizt 比早期版本的 Phorpiex 更加稳定。其次，如同旧版 Phorpiex，Twizt 能够在不依赖 C&C 服务器的情况下窃取加密货币，更容易避开安全机制（如防火墙）进行破坏。最后，Twizt 支持来自不同区块链的 30 多种加密货币，包括比特币、以太币、达世币、门罗币等主要加密货币;这创造了一个巨大的攻击表面，基本上任何加密货币的用户皆有可能受到影响。 Check Point Software 提醒所有加密货币交易者仔细检查复制贴上的钱包地址，因为您很可能会无意中将加密货币送入有心人士手中。」

为避免使用者遭受僵尸网络变种病毒 Twizt 攻击，Check Point Software 提出五项建议：

检查钱包地址：当交易者复制贴上加密钱包地址时，请务必仔细检查原先复制的地址与粘贴后是否相符。
测试交易：在发送大笔加密货币前，先发送一笔最低金额作为「测试」交易。
维持最新版本：确保操作系统及时更新，切勿从未经验证的来源下载软件。
误信广告：若您正在寻找加密钱包或加密货币交易/交换平台，请务必选择搜索结果中的第一个网站，而非广告推荐的网站;因为广告所推荐的网站更有可能误导交易者，Check Point Research 已发现有诈骗者利用谷歌广告窃取加密钱包。
检查网址：务必反复确认网址！