ViperSoftX：隐藏在系统日志中并扩散VenomSoftX

我们一直在密切监视一种名为 ViperSoftX 的信息窃取工具。ViperSoftX 首次在 2020 年于 Twitter 上被报导，并且在同年被 Fortinet 提及。关于 ViperSoftX 的某些方面，之前也曾由 Colin Cowie 描述过。然而，自那时以来，它经历了非常密集的开发，特别是在 2022 年变得更加活跃。恶意软体作者不断进行隐藏与躲避的游戏，不断改进策略和技术以避免被检测，似乎没有停止的趋势。因此，我们决定将所有信息整理在一起，提供全面的分析。

这种多阶段的窃取工具展示了有趣的隐藏能力，隐藏在外表看似无害的大型日志文件中的一行小 PowerShell 脚本等。ViperSoftX 专注于窃取加密货币、剪贴板交换、指纹识别受感染机器，以及下载和执行任意额外负载或执行命令。

ViperSoftX 发布的一个有效负载是一种特定的信息窃取工具，以 Chromium 基础的浏览器扩展形式存在。由于其独特的独立特性，我们决定给它一个自己的名字，即 VenomSoftX。该恶意扩展可以完全访问受害者访问的每一个页面，执行浏览器中的中间人攻击，通过篡改流行加密货币交易所的 API 请求数据来执行加密货币地址的交换，窃取凭据和剪贴板内容，篡改受访网站上的加密地址，使用 MQTT 向 CampC 伺服器报告事件等等。

ViperSoftX 主要通过破解的软体进行传播，如 Adobe Illustrator、Corel Video Studio、Microsoft Office 等，并经常通过种子下载进行分发。

活动概述

自 2022 年初以来，我们已经保护了超过 93000 名用户。由于这种恶意软体主要通过种子和软体分享网站进行分发，ViperSoftX 的活动遍布全球。受影响最严重的国家包括印度7000、美国6000和意大利5000。

自 2022 年初以来受攻击的国家地图

财务收益

ViperSoftX 和 VenomSoftX 都专注于从被感染的计算机中窃取加密货币，无论是通过扫描本地文件还是使用更复杂的技术。下面的表格显示了攻击者在相关加密货币钱包中的总收益估算。

加密货币 以加密货币计算的收益 大约收益以美元计算 比特币 5947 BTC 11681281 以太坊 5312 ETH 782613 狗狗币 34355528 DOGE 347447 比特币现金 911997194 BCH 102139 Cosmos (ATOM) 65153 ATOM 84644 Tezos 191445553 XTZ 24132 Dash 472446445 DASH 199

收益表数据更新至 2022 年 11 月 8 日

截至 2022 年 11 月 8 日，ViperSoftX 和 VenomSoftX 转移的被窃取加密货币的金额合计约为 13042156。这仅仅是转入加密货币钱包的金额，并不包括来自其他活动的可能利润。

技术分析

感染链概述

从破解软体到假日志

ViperSoftX 首先在受害者下载自认为是破解的软体时发生感染。它通常被命名为 Activatorexe 或 Patchexe。然而，在执行后，受害者却被感染上了 ViperSoftX。

Activatorexe 的提取

Activatorexe 实际上是一个加载器，使用 AES CBC 模式从自身解密数据。

解密算法的检查过程如下：

如果检查和保持一致，则该偏移指向从二进制的末尾计算的数据存储位置 offset0x24。因为数据是存储在二进制的末尾，所以偏移量也是数据块的大小。该数据块可以直接使用硬编码的密钥和二进制内部的 IV 进行解密：

密钥 71C54C3BCFFCE591A70C0B5BA6448327BC975D89F3021053125F1CB9A7C0AF72 IV C0BA0B56EAC742AFD4CB680EE0EB4FB0

解密后的数据块是一个序列化的协议缓冲区结构。结构模板包含两个协议缓冲区消息，如下所示：

我们可以使用这个模板来反序列化结构，揭示出五个不同的文件：

最后，你可以在我们的 GitHub 仓库 中找到提取的 Python 脚本。

分析这些文件

最有趣的文件是前面提到的日志文件，它通常大于 5 MB，并含有一行恶意代码通常总共有 17302 行，但在不同版本中可能会有所变化。

该日志文件通常名为并存放在：CWindowsLogssystemlogstxt不过，我们也看到变体将相同的日志文件放置在假装是驱动程序或文本文件的路径中，例如：CWindowsSystem32Driversp4kizne12de1ae213945f6b8833c58243f23d6sysCWindows2ZQ2UoL5A7C4B544404442483DACC696BED43D3txt其中子文件夹名称和 GUID 随机化。

以下是这样的一行恶意代码的示例。如稍后所述，这一行实际上包含一个被解码并执行的脚本。

日志文件示例，在第 17034 行上的单行恶意代码

该恶意软体使用旧版的 SyncAppvPublishingServervbs 脚本来创建计划任务，从而随后执行这些隐藏脚本以确保持久性。请注意，线号会依据计划任务中的恶意软体配置而有所变动。

隐藏脚本变体

到目前为止，我们已经看到两个隐藏脚本的变体潜伏在日志中。

第一种变体是一个简单的下拉载入器，从一个硬编码的 CampC 伺服器下载另一个有效负载并执行它。我们目前仅看到 ViperSoftX 信息窃取工具作为下拉载入的有效负载。以下小节将单独介绍这个窃取工具。

第一种 PowerShell 脚本变体 简单的下拉载入器

第二种变体是一种非编码格式的 PowerShell 脚本。该脚本包含两个部分：第一部分是一组解密函数，第二部分是加密的数据块。

日志文件示例，在第 17034 行上的单行恶意代码第二变体

该脚本使用 AES CBC 模式解密有效负载，即 ViperSoftX 信息窃取工具。AES 键是通过 Activatorexe 创建的计划任务的命令行传递的。解密过程可以在这个 CyberChef 模板 中找到。

ViperSoftX 信息窃取工具

当有效负载被下载后，我们看到一个混淆的 ViperSoftX PowerShell 脚本。我们观察到了多个 ViperSoftX 的变体，这表明该恶意软体仍在活跃开发中。以下文字将涵盖窃取工具的全部特征。

窃取能力

首先，我们来看看 ViperSoftX 实际上可以窃取什么。ViperSoftX 对被感染机器进行指纹识别，专注于包括以下几种不同类型的信息：

这种恶意软体专注于窃取加密货币。为此，它搜索本地和典型位置，寻找网页浏览器扩展和本地存储钱包。完整位置列表可在附录中找到。更为通用的信息，如操作系统、架构和用户名，则通过 WMI 和系统变量获取。

ViperSoftX 在受感染设备上搜索本地存储的加密货币，并监控剪贴板中的加密货币钱包地址以执行剪贴板交换。

收集到的数据，连同指纹信息，会被连接成一个单一字符串，使用 base64 编码后发送到硬编码的 CampC 伺服器，使用的 HTTP 标头为 UserAgent。请注意，CampC 伺服器在不同版本中有所变化：http//apiprivatechatting[]com/connect

每当受害者将内容复制到剪贴板时，ViperSoftX 就会在背景中使用预定义的正则表达式扫描内容。如果表达式与特定加密货币的钱包地址匹配，该恶意软体便会将内容替换为攻击者的地址，并使用 XNotify HTTP 标头向 CampC 伺服器发送通知，内容格式为三个值：加密货币类型 受害者地址 攻击者地址

加密货币类型反映了匹配的加密货币类型，可以是以下之一：BTC、BCH、BNB、ETH、XMR、XRP、DOGE 或 DASH。

该恶意软体还会检查打开的窗口的标题文本MainWindowTitle 属性，如果它发现某个专注于加密货币或金融的应用程序，则将其存在记录到：SystemDriveUsersPubliclogdat完整搜寻的关键字可在附录中找到。

除信息窃取核心外，ViperSoftX 还提供 RAT 功能，比如在命令行上执行任意命令，从 CampC 伺服器下载并执行额外的任意有效负载，以及完全从系统中移除自己。RAT 功能也可以用来窃取前面识别并发送到 CampC 伺服器的加密货币。

主机标头欺骗

除了尝试窃取加密货币外，该恶意软体还会欺骗主机标头，以混淆其与 CampC 伺服器的通信。

伪造的主机标头由五到十个小写字母组成，但真实的目的地则在硬编码的 metahost 变量中。通过此方式，实际的 CampC 伺服器地址被随机看起来的域名所掩盖，该域名并不存在。

VenomSoftX 浏览器扩展

更新版本的 ViperSoftX 信息窃取工具可以加载一个自定义的恶意浏览器扩展到受感染电脑上的 Chromium 基础浏览器。该扩展由 CampC 伺服器提供，实际上是另一个独立的信息窃取工具，我们将其称为 VenomSoftX，但它是由 ViperSoftX 安装的，如下所述。该扩展伪装成各种流行的浏览器扩展，以避免用户检测。

VenomSoftX 的主要目标也是从毫不知情的受害者那里窃取加密货币。不同的是，VenomSoftX 主要通过钩住受害者访问的几个非常流行的加密交易所的 API 请求来达到目的。当某个 API 被调用时，例如，用于发送资金，VenomSoftX 会在请求发送之前篡改请求，以将资金重定向到攻击者那里。尽管原理上与 ViperSoftX 这类信息窃取工具的操作类似，并且也属于比较常见的剪贴板交换，但这种技术是在较低层面上执行，因此受害者几乎无法注意到资金被转移到了其他地方。

安装扩展

ViperSoftX 的方法非常简单。恶意软体从 CampC 伺服器下载 VenomSoftX PowerShell 安装程式，例如通过从 PowerShell 脚本中硬编码请求元数据的 base64 解码，然后请求网址为：http//appsanalyser[]com/api/v1/ltHASHgt根据恶意软体版本的不同，这将包含不同的有效负载，但我们专注于 VenomSoftX 浏览器扩展。

安装程序脚本从 CampC 伺服器下载后，VenomSoftX 浏览器扩展 被提取，安装程序会在几个位置查找 lnk 文件，如果这些链接文件属于 Chrome、Brave、Opera 或 Edge，安装程序就会修改该链接文件，添加参数 loadextension=ltpathtothemaliciousextensiongt。这样，当用户启动他们最喜爱的浏览器时，实际上就会加载该恶意扩展。

以下是检查指向浏览器的链接文件的位置：

扩展 ID 是随机生成的，提供随机的小写字母代表扩展文件夹，并随机生成扩展的版本号：

(GetRandom Minimum 1 Maximum 10)(GetRandom Minimum 1 Maximum 10)(GetRandom Minimum 1 Maximum 10)0

我们观察到 ViperSoftX 的后续版本包含完整的更新机制。这些版本能够遍历被修改的 lnk 文件，解析恶意扩展的 manifestjson 文件，并在感染系统上检测到旧版本或扩展的旧写入时间戳时，恶意软体请求更新，然后通过 CampC 伺服器提供的专用命令替换扩展文件为最新版本。

该扩展也试图伪装成知名和常见的浏览器扩展，例如 Google Sheets。实际上，VenomSoftX 仍然是另一个信息窃取工具，完全获得受感染浏览器用户访问的所有网站的权限。

深入了解 JavaScript 的妙技

该扩展包含数个文件，如下表所示。每个文件有不同的用途：

文件名 目的 128png Google Sheets 图标，用以伪装扩展 contentbootstrapjs 协调恶意活动，通过 MQTT 传送结果 manifestjson 扩展的清单文件 rulesjson 用于 Kucoin 的 URL 过滤规则 webpackblockjs 对 Blockchaincom 的请求篡改和凭证窃取 webpackbnbjs 对 Binance 的请求篡改和加密货币窃取 webpackcbjs 对 Coinbase 的请求篡改和加密货币窃取 webpackcommonjs 包含用于模式匹配的地址本，用于剪贴板监控和窃取 webpackcontentjs 当未检测到交易所时 攻击者的地址将被替换成受害者之前输入的地址 webpackgtjs 对 Gateio 的请求篡改和加密货币窃取 webpackkucjs 对 Kucoin 的请求篡改和加密货币窃取

该恶意软体专注于五个大型加密货币交易所，这在模块名称的缩略语中有所体现。

在接下来的段落中，我们将专注于各模块的具体功能。

这个模组是 VenomSoftX 的起点，它会在每次访问网站时加载。它协调应该加载哪些模组，并负责将被盗数据发送到 CampC 伺服器。

根据访问的域名来加载脚本。如果网站是以下任意一个：Blockchaincom、Binance、CoinBase、Gateio 或 Kucoin，则会加载相应的 “webpack”。如果用户在任何其他网站，则会加载 webpackcontentjs。无论受害者访问的是哪个网站，webpackcommonjs 都会默认加载。

确定加载哪些模块的过程解混淆

所有模组都有自己的用途。然而，其中两个模组 webpackcommonjs 和 webpackblockjs 能够使用存在于 contentbootstrapjs 中的 Paho MQTT 客户端 将数据发送回收集伺服器。MQTT 客户端设置了一个事件监听器，其硬编码值为 b8b0becb080a46af9688e3671fcc4166，该值指示数据应发送到 MQTT 中继，进行数据收割：brokeremqx[]io请注意，不同版本中的收集器地址可能有所不同。

发送的数据结构如下：MSG time ltutcdatetimegt ip ltclientipgt data ltdatagt

time 和 ip 字段是通过公共服务 (https//worldtimeapiorg/api/ip) 获得的。

data 字段要么是包含加密钱包的剪贴板内容和其他元数据，要么是被盗的 blockchaincom 凭证。详细内容请见下文。

“common” 模组会在每一个网站中加载，无论它是加密货币交易所还是其他网站。它被用来定义一个地址本，这是一组正则表达式，用于在其他模组中多次进行加密地址匹配。

地址本的结构类似字典，其中键是正则表达式，而值则是另一个字典，包含三个值：coin、address 和 network。以下是该地址本的一部分示例。完整地址本见附录。

可能的地址本片段不完整，解混淆

此外，每当用户在任何网站中粘贴任何内容时除了地址本中的恶意地址之外，该模组会检查剪贴板内容是否与地址本中的任一正则表达式匹配，若匹配成功，就会将以下数据发送到收集伺服器并进行 base64 编码。MQTT 消息的数据结构如下：

Action

Site Browser Clipboard Time

此模组监控两个用户在网站中填写的输入元素，当受害者不在上述任何交易所网站上时，自然会加载这个模组将会执行：

这是通过实现对这些元素 getter 的钩子来做到的，以便试图找到与用户的输入相符的加密地址，如果找到了，恶意软体会创建一个新的 localStorage 条目，结合访问的网站和相符的地址：websiteattackerAddress userAddress当提供的地址与地址本中的任何正则表达式匹配时，便会找到相应的地址。

之后，自定义的 MutationObserver 会监控网站的动态变更例如，页面加载、显示用户发送的先前消息等，如果有此类变更发生，则恶意软体将在网站的主体中替换电子邮件中的所有恶意地址如果找到的话，从而将其隐藏。这有效地隐藏了网站的内容中恶意地址的所有痕迹。

请注意，由于信息是直接存储在持久的 localStorage 中，因此此功能在浏览器重新启动、PC 重新启动或将来的任何时间重访该页面后均会持续存在。受害者必须清除浏览器中的用户数据或完全卸载该恶意扩展，才能摆脱恶意行为。

为了演示这一行为，我们决定创建一个简单页面的 demo PoC，来展示在恶意软体激活期间的内容篡改过程：

展示内容篡改过程的演示

窃取受害者帐户资金

如前所述，VenomSoftX 专注于五个不同的加密交易所网站，即 Blockchaincom、Binance、Coinbase、Gateio 和 Kucoin。

在这些模组中，该恶意软体试图篡改交易所用于多项操作如资金提取或发送安全码的 API 请求。这是通过在调用 API 时进行钩子，解析其结构，并将响应的主体替换为期望的攻击者内容来完成的这通常意味著收件人的地址被替换为攻击者的地址，以及如果已知可用帐户余额，请求的数量被设置为最大可提取金额。然后，请求会在恶意软体的监控下被传送，从而用户根本无法察觉，受害者的资产因此被完全掏空。

请注意，用户几乎无法察觉到这一点。与相对常见的剪贴板交换相比，例如，此交换是在较低层面执行的。由于区块链账本上的交易本质上是不可逆的，当用户稍后检查其付款的交易历史时，已经太晚了。

完整的 API 函数钩子列表可以在附录中找到。唯一与其他文件不同的是 webpackblockjs。该模组专注于 wwwblockchaincom，它试图钩住 https//blockchaininfo/wallet。它还对密码字段的 getter 进行了修改以窃取输入的密码。一旦对 API 端点的请求被发送，该钱包地址便会从请求中提取，然后与密码一起打包，通过 MQTT 发送给收集器，数据为 base64 编码的 JSON。

如果我们忽略 API 的差异，则其他钩子的高层功能是相同的，以下将以 Binance 模组作为示例。

Binance 模组识别六个不同的 API 调用，激发恶意交互。当用户登录该网站时，预期会在某些时刻调用 API 函数：https//wwwbinancecom/bapi/asset/v3/private/assetservice/asset/getuserasset然后，VenomSoftX 会解析并保存受害者帐户中的所有资产。当用户尝试操作其储蓄时，例如，提款其资金，该恶意软体将拦截请求：https//wwwbinancecom/bapi/capital/v3/private/capital/withdraw/apply并篡改请求主体，如果找到兼容的攻击者地址，则将地址更改为攻击者的地址，请求的数量也设置为从前一步获得的最大金额。篡改之后，请求按照原来的方式继续传递，最终结果是使受害者的钱包被完全掏空。

总结

在这篇博文中，我们详细查看了 ViperSoftX，这是一长期存在的信息窃取工具，以及其恶意浏览器扩展有效负载 VenomSoftX。我们描述了这两个情报窃取工具的感染链，以及原始有效负载在受感染系统中的隐藏和解密过程。

我们阐述了 ViperSoftX 和 VenomSoftX 的窃取内容，以及浏览器扩展如何利用其对受害者访问的每个页面的完全访问权限，静默地篡改受害者使用的流行加密货币交易所所用的 API 请求，最终导致受害者账户的资金被掏空。

重要危害指标 (IoC)

ViperSoftX

文件名 SHA256 Activatorexe e1dc058fc8282acb95648c1ee6b0bc36b0d6b5e6853d4f602df5549e67d6d11a 隐藏日志脚本第一变体 0bad2617ddb7586637ad81aaa32912b78497daf1f69eb9eb7385917b2c8701c2 隐藏日志脚本第二变体 0cb5c69e8e85f44725105432de551090b28530be8948cc730e4b0d901748ff6f ViperSoftX PowerShell 23b9075dac7dbf712732bb81ecd2c21259f384eb79ae8fdebe29b7c5a12d0519 ViperSoftX 浏览器安装程序 5c5202ed975d6647bd157ea494d0a09aac41d686bcf39b16a870422fa77a9add

VenomSoftX

文件名 SHA256 contentbootstrapjs 3fe448df20c8474730415f07d05bef3011486ec1e070c67683c5034ec76a2fcb manifestjson 0de9a23f88b9b7bda3da989dce7ad014112d88100dceaabca072d6672522be26 rulesjson 1d6845c7b92d6eb70464a35b6075365872c0ae40890133f4d7dd17ea066f8481 webpackblockjs 7107ab14a1760c6dccd25bf5e22221134a23401595d10c707f023f8ca5f1b854 webpackbnbjs ddee23e2bfd6b9d57569076029371e6e686b801131b6b503e7444359d9d8d813 webpackcbjs 947215a1c401522d654e1d1d241e4c8ee44217dacd093b814e7f38d4c9db0289 webpackcommonjs 7b75c1150ef10294c5b9005dbcd2ee6795423ec20c512eb16c8379b6360b6c98 webpackcontentjs d7dfc84af13f49e2a242f60804b70f82efff7680cddf07f412667f998143fe9c webpackgtjs 4da1352e3415faa393e4d088b5d54d501c8d2a9be9af1362ca5cc0a799204b37 webpackkucjs 705deecbbb6fd4855df3de254057c90150255c947b0fb985ea1e0f923f75a95f

CampC

CampC apiprivatechatting[]com appsanalyser[]com wmailblog[]com wmailservice[]com

附录

脚本和工具

钱包地址列表

加密货币 地址 ADA addr1q9c27w7u4uh55sfp64ahtrnj44jkthpe7vyqgcpt73z9lrq7fw3juld8k2ksz2p82tv45j8yc5wzqmr4ladxyt0vjxrsf33mjk ATOM cosmos1mcah8lel6rxhlqsyrzpm8237cqcuzgyw70nm6f BNB bnb1u64a2n3jhw4yh73s84rc58v8wxrwp7r8jwakpr BNB bnb1vmwl54jxj9yvsgz33xtyuvqnurdjy2raqnttkq BTC 1L8EBHDeiHeumtcpcroaxBceXnWFiYU5dh BTC 1Pqkb4MZwKzgSNkaX32wMwg95D9NfW9vZX BTC 32Wx3dsHCCxyJZLwseFYkgeFqVk16tCCcF BTC 3JvBvRuBfYvB6MjzMornj9EQpxhq9W7vXP BTC bc1qn6ype8u5kgj672mvsez9wz9wt9wk22tzd5vprp BTC bc1qxgz2g8kn2kg0wqqrmctyxu5n925pnwphzlehaw BTC qq9yrhef7csy3yzgxgs0rvkvez440mk53gv8ulyu6a BTC qqh3g98z60rdl05044xxt7gkgncezmdfy5tja99z53 DASH XdxTmTFuHrcHnQQhfweAnHtExFB5BXmU1z DASH Xtwj8uGx77NYBUki1UCPvEhe4kHYi6yWng DOT 122zNSYNN2TSR2H5wBCX16Yyvq7qLFWo1d6Lvw2t9CNxMxt1 DOGE DDxhfK5wbJkRN25mAbBYk3ND4xLjiMRyNq DOGE DUUNTm23sVwLyiw27WW9ZPT9XfiWhB1Cvf ETH 0x12507F83Dde59C206ec400719dF80D015D9D17B6 ETH 0x884467182849bA788ba89300e176ebe11624C882 KAVA kava1emxzwjw84e0re7awgue9kp4gseesyqrttg69sm SOL 7j5bxiFPSsScScBEjLj9qud5Yc2CqXGmembX3hQBdFTd USDT TDJLMdJWPrKNMHuxgpQL8QPYgvdXTnWJao XMR 475WGyX8zvFFCUR9ufThrNRtJmzmU13gqH9GV2WgAjbR7FgRVCWzokdfVf2hqvRbDBaMzBm1zpDiBTpBgxLt6d7nAdEEhC4 XMR 48qx1krgEGzdcSacbmZdioNwXxW6r43yFSJDKPWZb3wsK9pYhajHNyE5FujWo1NxVwEBvGebS7biW9mjMEWdMevqMGmDJ6x XRP rH6dyKWNpcvFz6fQ4ohyDbevSxcxdxfSmz XRP rpzn8Ax7Kz1A4Yi8KqvzV43KYsa59SH2Aq XTZ tz1g6rcQAgtdZc8PNUaTUzrDD8PYuCeVj4mb ZEC t1XjiZx8EydDDRuLisoYyVifcSFb96a3YBj ZIL zil1aw3kyrymt52pq2e4xwzusdfce9e5tmewvshdrm

同时也可以在我们的 GitHub 上找到。

ViperSoftX

被监控的加密货币位置列表

完整列表在我们的 GitHub 上。

被监控的窗口标题列表

被监控的窗口标题 binance coinbase blockchain voyager blockfi coindesk etoro kucoin citi paxful paypal huobi poloniex bittrex kraken bitfinex bitstamp

同时也可以在我们的 GitHub 上找到。

VenomSoftX

地址本

完整列表在我们的 GitHub 上。

被钩住的 API 调用列表

Blockchaincom https//blockchaininfo/wallet Binance https//wwwbinancecom/bapi/accounts/v1/protect/account/email/sendEmailVerifyCode https//wwwbinancecom/bapi/accounts/v1/protect/account/email/sendMobileVerifyCode https//wwwbinancecom/bapi/kyc/v1/private/risk/check/withdrawprecheck https//wwwbinancecom/bapi/capital/v3/private/capital/withdraw/apply https//wwwbinancecom/bapi/asset/v3/private/assetservice/asset/getuserasset https//wwwbinancecom/bapi/capital/v1/private/capital/deposit/queryUserDepositAddress Coinbase https//wwwcoinbasecom/api/v3/coinbasepublicapiauthedsendsSends/CreateSend https//wwwcoinbasecom/api/v3/coinbasepublicapiauthedsendsSends/CreateSendMax https//wwwcoinbasecom/api/v3/coinbasepublicapiauthedaccountsAccounts/GetAccounts https//wwwcoinbasecom/api/v3/coinbasepublicapiauthedsendsSends/CommitSend https//wwwcoinbasecom/graphql/queryampoperationName=ReceiveContentQuery Gateio https//wwwgateio/myaccount/secondconfirm Kucoin https//wwwkucoincom/api/payment/withdraw/safeimg https//wwwkucoincom/api/payment/withdraw/apply https//wwwkucoincom/api/accountfront/query/currencybalance https//wwwkucoincom/api/payment/depositaddress/get

标签 分析，浏览器扩展，加密货币，恶意软体，窃取器