在區塊鏈黑暗世界,時刻保持警惕,切勿貪婪撿便宜,個人安全意識永遠是安全的第一道防線
By:愛上平頂山& 耀
近日,據慢霧區情報反饋,有不少朋友遭遇釣魚木馬,已經導致數百萬美金的損失。
據我們了解,這種攻擊主要是通過Discord 邀請用戶參與新的遊戲項目內測,打著“給予優惠”等幌子,或是通過群內私聊等方式發一個程序讓你下載,一般是發送壓縮包,解壓出來是一個大概800 M 左右的exe 文件,一旦你在電腦上運行,它會掃描你電腦上的文件,然後過濾包含Wallet 等關鍵詞的文件上傳到攻擊者服務器,達到盜取加密貨幣的目的。
時間線
最早這類騙局出現在2022 年8 月1 日,以WinSomeNft 的項目名稱出現:
2022 年8 月1 日,以CthulhuWorldP2E 的項目名稱出現:
(https://twitter.com/Estetshcrypto/status/1561290861652082689)
2022 年8 月30 日,再次出現:
(https://twitter.com/NiqisLucky/status/1564315179466166272)
然後再次以idlemaster3d 項目名稱出現:
官網:https://idlemaster3d.com
DC:https://discord.gg/KFyqCdRRst
DC 看起來似乎正常,但懷疑他們是直接Fork 真DC 消息過來,以假亂真,裡面大量機器人。
目前該項目改名為Yoyo Game Ltd(https://twitter.com/YoyoGame_RPG)繼續詐騙。
分析
推特用戶@BoxMrChen 遇到的情況:
(https://twitter.com/BoxMrChen/status/1566053823281410050)
他遇到的木馬名稱是:Master3DRPG_v3.5.3.zip,我們以此木馬文件為例分析:
暗夜小偷:Redline Stealer 木馬盜幣分析
解壓後的文件:Master3DRPG_v3.5.3.exe,大小749.7 M。正常木馬文件不會這麼大,所以我們用文本編輯器打開看下:
填充大量0000 空文件,導致木馬文件巨大,這樣可以逃避殺毒軟件查殺。
(注:正常在線殺軟分析大小50 M, PC 端殺毒軟件能分析的文件大小大概500 M 左右)
我們直接批量刪除所有的0000 文件,整理出一個300 KB 左右的真實木馬文件:
暗夜小偷:Redline Stealer 木馬盜幣分析
虛擬機運行,簡單抓個包、監控下進程,看看行為:
掃描Wallet 錢包相關信息,並上傳到遠程C2 服務器。
發現它以偽裝成Flash Player 更新包程序方式進行控制:
我們再使用微步在線分析,在Win7 64 bit 分析網絡行為:
該IP 77.73.134.5 近期關聯多個惡意樣本,都是針對加密圈用戶釣魚:
當時詐騙人員創建24 個推特賬戶(包括主賬戶)進行詐騙推廣。
我們再看下木馬信息:是RedLine Stealer 家族木馬
(https://bazaar.abuse.ch/sample/0cf542852fcec699b8c6be230e5b38daa7380479cace60f2a6d3a3fcd357b718/)
RedLine Stealer 家族木馬是什麼?
RedLine Stealer 是一種惡意木馬軟件,2020 年3 月被發現,在地下論壇上單獨出售。該惡意軟件從瀏覽器中收集保存的憑據、自動完成數據和信用卡等信息。在目標機器上運行時,會蒐集如用戶名、位置數據、硬件配置和已安裝的安全軟件等詳細信息。新版本的RedLine 增加了竊取加密貨幣的能力,能夠自動掃描本地計算機已安裝的數字貨幣錢包信息,並上傳到遠端控制機。該惡意軟件具有上傳和下載文件、執行命令以及定期發回有關受感染計算機的信息的能力。
(https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer)
從下圖可以看到,針對加密貨幣錢包目錄、錢包文件進行掃描,目標很明確。
我們看下他們的官方發布功能:非常齊全的功能,而且價格便宜。
服務也SaaS 化:
選擇產品:
展示每款產品的價格:
準備付款:
同意相關協議、付款:
典型的俄語生態木馬:
我們可以看到還有針對MetaMask、Wallet 等信息。
竊取程序針對以下錢包和瀏覽器擴展進行攻擊:MetaMask, YoroiWallet, TronLink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet。
總結
隨著Web3 興起,加密貨幣越來越流行,傳統的黑客組織、獨狼黑客也瞄準了加密貨幣行業,他們針對加密貨幣錢包發起攻擊,像Redline 這樣的惡意軟件,可以以每月100 美元的價格輕鬆提供給犯罪分子,這對加密貨幣用戶產生巨大的威脅。
慢霧在此建議行業從業人員隨時關注國內外安全公司安全情報,做好自我排查,提高警惕,運行可執行程序之前,做好必要的安全檢查。建議Windows、Mac 電腦用戶務必安裝殺毒軟件,如卡巴斯基、AVG、360 等,保持安全軟件實時防護開啟,並隨時更新最新病毒庫。
在區塊鏈黑暗世界,時刻保持警惕,切勿貪婪撿便宜,個人安全意識永遠是安全的第一道防線。
技術擴展閱讀:
https://securityscorecard.com/research/detailed-analysis-redline-stealer
https://cyberint.com/blog/research/redline-stealer/
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
展開全文打開碳鏈價值APP 查看更多精彩資訊