加密貨幣的世界充滿了各種趣味。隨著比特幣價值的每一次上漲，使得越來越多人願意躋身到這個電子資產的世界中。但每個世界裡都會有壞人的存在，防毒軟體公司Avast近來發現，一個名為HackBoss的惡意軟體從2018年開始就透過Telegram頻道從使用者身上竊走了約56萬美元的資金。

這個竊取加密貨幣的惡意程式主要透過將下列3種方式整合唯一來達到它的目的：

1. 密碼竊取程序：著重於竊取加密貨幣錢包或文件的密碼
2. 加密貨幣挖礦程式：製造病毒，在他人不知情或未經同意下，使用一般可用的挖礦軟體來侵佔他人的運算資源 (CPU、GPU、RAM、網路頻寬和功能)。
3. 鍵盤記錄程序：通過記錄使用者的鍵盤敲擊記錄來存取他們的密碼和助字詞（seed phrase）

HackBoss名稱來源為其Telegram頻道的名字也叫作Hack Boss。他們宣稱頻道聊天室的功能為「提供最好的駭客軟體」，包含銀行攻擊、約會、比特幣等層面的工具，像是銀行或社群網站的破解器、加密貨幣錢包私鑰破解器，以及禮物卡二維碼生成器等。但實際上這些工具都是惡意程式，且只有一個功能，就是從使用者那裡竊取加密貨幣。

Hack Boss頻道於2018年11月26日成立並擁有超過2500名追蹤者。作者每個月平均都會發7篇文章，且每個文章幾乎都有超過1000次的點擊率。

在每則推銷假破解工具或駭客應用程式的文章中，不只有檔案下載網址，還有散布者對於工具用途的說明與執行畫面截圖等，部分文章還會嵌入名為Bank God的YouTube頻道所提供的推廣影片。

一旦使用者將這些假應用程式下載到電腦執行，能看到軟體介面上存在許多按鈕，只要使用者點選其中一個按鈕，就會觸發改惡意軟體的相關功能，並將惡意酬載解密到AppData\Local或AppData\Roaming資料夾執行。為了能持續在受害電腦運作，Hack Boss也會透過竄改Windows登錄檔機碼，或是工作排程的方式，來重複執行。

Avast指出，它會檢查剪貼簿的內容，是否存在加密錢包位址，一旦發現是加密錢包位址的格式，這個惡意酬載就會將位址調包，換成駭客的錢包位址。就算受害者察覺剪貼簿遭到監控，關閉上述的假工具，或是將惡意處理程序終止，都無法完全阻止其運作，因為有了前述的登錄檔機碼，這個惡意程式在幾分鐘內就會再度啟動。

參考資料：
https://decoded.avast.io/romanalinkeova/hackboss-a-cryptocurrency-stealing-malware-distributed-through-telegram/
https://www.ithome.com.tw/news/143965