暗夜小偷:Redline Stealer 木馬盜幣分析

在區塊鏈黑暗世界,時刻保持警惕,切勿貪婪撿便宜,個人安全意識永遠是安全的第一道防線

By:愛上平頂山& 耀

近日,據慢霧區情報反饋,有不少朋友遭遇釣魚木馬,已經導致數百萬美金的損失。

據我們了解,這種攻擊主要是通過Discord 邀請用戶參與新的遊戲項目內測,打著“給予優惠”等幌子,或是通過群內私聊等方式發一個程序讓你下載,一般是發送壓縮包,解壓出來是一個大概800 M 左右的exe 文件,一旦你在電腦上運行,它會掃描你電腦上的文件,然後過濾包含Wallet 等關鍵詞的文件上傳到攻擊者服務器,達到盜取加密貨幣的目的。

時間線

最早這類騙局出現在2022 年8 月1 日,以WinSomeNft 的項目名稱出現:

2022 年8 月1 日,以CthulhuWorldP2E 的項目名稱出現:

(https://twitter.com/Estetshcrypto/status/1561290861652082689)

2022 年8 月30 日,再次出現:

(https://twitter.com/NiqisLucky/status/1564315179466166272)

然後再次以idlemaster3d 項目名稱出現:

官網:https://idlemaster3d.com

DC:https://discord.gg/KFyqCdRRst

DC 看起來似乎正常,但懷疑他們是直接Fork 真DC 消息過來,以假亂真,裡面大量機器人。

目前該項目改名為Yoyo Game Ltd(https://twitter.com/YoyoGame_RPG)繼續詐騙。

分析

推特用戶@BoxMrChen 遇到的情況:

(https://twitter.com/BoxMrChen/status/1566053823281410050)

他遇到的木馬名稱是:Master3DRPG_v3.5.3.zip,我們以此木馬文件為例分析:

暗夜小偷:Redline Stealer 木馬盜幣分析暗夜小偷:Redline Stealer 木馬盜幣分析

解壓後的文件:Master3DRPG_v3.5.3.exe,大小749.7 M。正常木馬文件不會這麼大,所以我們用文本編輯器打開看下:

填充大量0000 空文件,導致木馬文件巨大,這樣可以逃避殺毒軟件查殺。

(注:正常在線殺軟分析大小50 M, PC 端殺毒軟件能分析的文件大小大概500 M 左右)

我們直接批量刪除所有的0000 文件,整理出一個300 KB 左右的真實木馬文件:

暗夜小偷:Redline Stealer 木馬盜幣分析暗夜小偷:Redline Stealer 木馬盜幣分析

虛擬機運行,簡單抓個包、監控下進程,看看行為:

掃描Wallet 錢包相關信息,並上傳到遠程C2 服務器。

發現它以偽裝成Flash Player 更新包程序方式進行控制:

我們再使用微步在線分析,在Win7 64 bit 分析網絡行為:

該IP 77.73.134.5 近期關聯多個惡意樣本,都是針對加密圈用戶釣魚:

當時詐騙人員創建24 個推特賬戶(包括主賬戶)進行詐騙推廣。

我們再看下木馬信息:是RedLine Stealer 家族木馬

(https://bazaar.abuse.ch/sample/0cf542852fcec699b8c6be230e5b38daa7380479cace60f2a6d3a3fcd357b718/)

RedLine Stealer 家族木馬是什麼?

RedLine Stealer 是一種惡意木馬軟件,2020 年3 月被發現,在地下論壇上單獨出售。該惡意軟件從瀏覽器中收集保存的憑據、自動完成數據和信用卡等信息。在目標機器上運行時,會蒐集如用戶名、位置數據、硬件配置和已安裝的安全軟件等詳細信息。新版本的RedLine 增加了竊取加密貨幣的能力,能夠自動掃描本地計算機已安裝的數字貨幣錢包信息,並上傳到遠端控制機。該惡意軟件具有上傳和下載文件、執行命令以及定期發回有關受感染計算機的信息的能力。

(https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer)

從下圖可以看到,針對加密貨幣錢包目錄、錢包文件進行掃描,目標很明確。

我們看下他們的官方發布功能:非常齊全的功能,而且價格便宜。

服務也SaaS 化:

選擇產品:

展示每款產品的價格:

準備付款:

同意相關協議、付款:

典型的俄語生態木馬:

我們可以看到還有針對MetaMask、Wallet 等信息。

竊取程序針對以下錢包和瀏覽器擴展進行攻擊:MetaMask, YoroiWallet, TronLink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet。

總結

隨著Web3 興起,加密貨幣越來越流行,傳統的黑客組織、獨狼黑客也瞄準了加密貨幣行業,他們針對加密貨幣錢包發起攻擊,像Redline 這樣的惡意軟件,可以以每月100 美元的價格輕鬆提供給犯罪分子,這對加密貨幣用戶產生巨大的威脅。

慢霧在此建議行業從業人員隨時關注國內外安全公司安全情報,做好自我排查,提高警惕,運行可執行程序之前,做好必要的安全檢查。建議Windows、Mac 電腦用戶務必安裝殺毒軟件,如卡巴斯基、AVG、360 等,保持安全軟件實時防護開啟,並隨時更新最新病毒庫。

在區塊鏈黑暗世界,時刻保持警惕,切勿貪婪撿便宜,個人安全意識永遠是安全的第一道防線。

技術擴展閱讀:

https://securityscorecard.com/research/detailed-analysis-redline-stealer

https://cyberint.com/blog/research/redline-stealer/

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md

展開全文打開碳鏈價值APP 查看更多精彩資訊

Total
0
Shares
Related Posts