根據加密貨幣安全分析公司SlowMist 報導,隨著加密的不斷採用和加密貨幣價格的大幅上漲,中國出現了一種新的網路釣魚騙局,專門針對加密貨幣用戶。詐騙者利用中國對國際應用程式的禁令,利用大陸用戶透過第三方平台搜尋被禁止的應用程式的傾向。這些剝削者也利用了最新的加密貨幣牛市。
中國開發者抓住加密貨幣產業蓬勃發展的機會
截至目前,加密貨幣在中國已被全面禁止,但其剝削者仍在這個快速崛起的產業中尋找漏洞。 Telegram、WhatsApp 和Skype 等社交媒體應用程式普遍受到大陸用戶的追捧,這使得他們對包含旨在攻擊數位貨幣包的惡意軟體的虛假克隆應用程式的詐騙非常敏感。
慢霧團隊發現詐騙Skype 應用程式的版本號碼為8.87.0.403,與合法版本8.107.0.215 不同。網路釣魚後端網域最初於2022 年11 月23 日冒充幣安,後來於2023 年5 月23 日改為模仿Skype 後端網域。該騙局首先由遭受重大經濟損失的用戶舉報。
來源:百度
惡意軟體插入和Android 網路框架修改
經過分析,假冒應用程式的篡改簽名揭示了惡意軟體的插入。安全團隊對該應用程式進行了反編譯,發現對常用的Android 網路框架okhttp3 進行了修改,該框架專為目標加密貨幣用戶量身定制。修改後的okhttp3,偽裝成處理Android流量請求,實際上是即時從手機上的各個目錄中擷取影像。
惡意okhttp3 請求使用者授予對內部文件和圖像的存取權限,利用社交媒體應用程式通常請求的權限。一旦獲得存取權限,假冒的Skype 應用程式就會將圖像、裝置資訊、使用者ID、電話號碼和其他資料上傳到後端。然後,該應用程式會搜尋具有TRX 和類似ETH 位址格式的圖像和訊息。如果偵測到,這些位址將自動替換為網路釣魚集團預先確定的惡意位址。
慢霧測試期間發現錢包位址替換已停止,釣魚介面後端已關閉,不再傳回惡意位址。團隊還發現,截至11 月8 日,TRON 鏈地址(TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB)收到約192,856 USDT,共110 筆交易。同時,某ETH鏈位址(0xF90acFBe580F58f912F557B444bA1bf77053fc03)在10筆儲值交易中收到約7800 USDT。
受害者報告和攻擊者行動
該調查強調了加密貨幣用戶保持警惕和謹慎的重要性,以避免成為此類網路釣魚詐騙的受害者。安全公司ZachXBT 還報告稱,地址0xa8D8A0..5bcE 似乎已耗盡約2700 萬美元的USDT 和11 ETH。受害者大約7 天前從幣安收到了這些USDT。
假定的攻擊者(身分為0x03C401…37E3)將被盜的USDT 換成ETH,並透過Thorchain 將約11.6K ETH(價值約2300 萬美元)橋接到比特幣。隨後,攻擊者將部分資金轉移到各個中心化交易所(CEX),包括FixedFloat、ChangeNow、SideShift、OKX、WhiteBit、Binance、Kucoin和HitBTC。
資訊來源:由0x資訊編譯自TODAYQ。版權歸作者Chandan Gupta所有,未經許可,不得轉載