译者 | 布加迪
审校 | 重楼
网络犯罪分子从未停止过创新的步伐,他们尤其被加密货币所吸引。也许你正在畅游互联网,却不知道将要踩到多少雷。说到保护加密货币资金,小心谨慎、及时了解最新的安全趋势永远不会有坏处。
为了让你了解加密货币行业对恶意攻击者来说有多庞大,不妨看看Chainalysis的数据:2023年非法加密货币地址收到了大约242亿美元。别成为下一个受害者!赶紧看看今年你应该知道的一些新的恶意软件技术以及如何保护自己免受侵害。
1.macOS中的后门
从非官方网站下载应用程序并不是一个好主意,下面就是一个典例。网络安全公司卡巴斯基今年早些时候发现了一个新的威胁,针对macOS用户的加密货币钱包,隐藏在torrent和盗版网站上的盗版软件中。
当用户安装这些看似免费的程序后,他们在不知不觉中允许恶意软件进入其计算机。第一步涉及一个名为“激活器”的应用程序,它提示用户提供管理员访问权。这给了恶意软件必要的权限来安装自己,并禁用盗版软件的正常功能,诱骗用户认为他们需要这个激活器才能使软件正常运行。
一旦安装,恶意软件就联系远程服务器下载进一步的恶意指令。这些指令帮助恶意软件创建一个后门,使黑客能够持续访问受感染的计算机。这种恶意软件的主要目的是窃取加密货币。它用受感染的版本取代了合法的钱包应用程序,比如Exodus和Bitcoin-Qt。
然后,这些被修改的应用程序会获取敏感信息,比如恢复短语和钱包密码,并将它们发送给黑客,实际上掏空你的加密货币资金。在获得“免费”应用程序后出现可疑的“激活器”安装程序?别为它提供访问权,立即卸载!
2.Vortax、Web3 Games和“Markopolo”
Vortax Campaign是一种针对加密货币用户的欺骗性恶意软件活动,由Recorded Future的研究人员发现。该活动背后的网络犯罪分子使用看似合法的虚假应用程序,用窃取信息的恶意软件感染Windows设备和macOS设备。这款应用程序伪装成一款名为Vortax的虚拟会议软件,看起来很可信,它有被搜索引擎索引的网站,有人工智能生成文章的博客,还有X、Telegram和Discord等平台上的社交媒体账户。威胁分子在以加密货币为主题的讨论中与潜在受害者接触,指导他们以加入虚拟会议的名义下载Vortax应用程序。
一旦用户按照提供的说明操作,他们就会被重定向到安装Vortax软件的下载链接。然而,安装文件分发的不是一个实用的应用程序,而是恶意软件,比如Rhadamanthys、Stealc或Atomic Stealer(AMOS)。由于故意错误,Vortax应用程序似乎无法正常工作,而在后台,恶意软件开始窃取敏感信息,包括密码和种子短语。进一步的调查显示,Vortax活动与多个托管类似恶意应用程序和虚假web3游戏的域名有关,这表明威胁分子Markopolo开展的活动井然有序。
Markopolo的策略包括利用社交媒体和信息平台来传播其恶意软件,还伪装成VDeck、Mindspeak、ArgonGame、DustFighter和Astration等品牌和游戏。这种策略不仅扩大了他们的影响范围,还加大了用户被骗下载恶意软件的可能性。该活动的复杂性和适应性意味着未来的攻击可能会变得更加普遍,这表明了用户在下载第三方软件时需要谨慎行事,特别是在觉得可疑的时候。
3.针对Python开发者的陷阱pytoileur
Sonatype研究人员发现了一种新的威胁,该威胁通过一个名为“pytoileur”的恶意Python包针对加密货币用户。pytoileur伪装成合法的API管理工具,欺骗用户从Python包索(PyPI)下载它。一旦安装,该包就会秘密检索并安装有害软件,旨在通过访问存储在受害者设备上的敏感信息来窃取加密货币。
恶意包巧妙地隐藏在看似无害的代码中。它下载了一个危险的可执行文件,一旦执行,就会执行各种恶意活动,这包括修改系统设置、在设备上潜伏下来以免被发现。最重要的是,试图从与Binance、Coinbase和Crypto.com等流行服务相关的钱包和账户中窃取加密货币。通过访问浏览器数据及其他财务细节,恶意软件可以在受害者不知情的情况下窃取数字资产。
pytoileur的传播涉及社会工程策略,包括利用Stack Overflow等社区平台,以解决技术问题为幌子引诱开发人员下载该包。这起事件是更广泛的“Cool package”(酷包)活动的一部分,表明网络犯罪分子一直借助复杂且不断发展的方法瞄准加密货币用户。另一家安全公司Mend.io已在PyPI库中发现了100多个恶意包。
开发人员可以通过从可信来源下载、验证包的完整性以及在使用前检查代码来避免恶意包。随时更新安全建议和使用自动化安全工具也会有所帮助。
4.集群威胁p2pinfection
Cado Security发现的p2pinfection是一种复杂的恶意软件,利用点对点僵尸网络进行控制。换句话说,该恶意软件检测一台计算机是否属于网络,并感染所有连接的设备,以便在不依赖中央服务器的情况下直接相互通信和控制。最初看起来是休眠的,更新后的形式现在包括勒索软件和加密货币挖掘功能。
一旦感染,它主要通过流行的数据库系统Redis的漏洞传播开来,允许恶意软件执行任意命令,并在连接的系统之间传播。僵尸网络特性确保了更新快速分发,例如在整个公司内维护一个广泛的受感染设备网络。
受害者通常通过不安全的Redis配置或通过有限的SSH(Secure Shell)尝试使用公共凭据管理远程系统而遇到p2pinfection。一旦在受害者系统上激活,p2pinfection就会安装一个针对门罗币加密货币的加密货币挖矿软件。该挖矿软件在短暂的延迟后激活,并使用系统的资源生成加密货币,暗中将不义之财汇到攻击者的钱包中,并减慢设备的运行速度。
勒索软件组件加密(阻止)文件,并要求支付加密货币才能检索文件,不过由于受感染Redis服务器的典型权限,其有效性受到限制。攻击者的门罗币钱包已经积累了大约71个XMR,相当于大约12400美元。这说明了该活动已成功牟利,尽管由于Redis存储的典型低价值数据,该勒索软件的潜在影响有限。为了避免这种恶意软件,请记得保护Redis配置,并定期监测异常活动。
5.虚假AggrTrade及其他恶意扩展
据安全公司SlowMist描述,虚假的AggrTrade Chrome扩展是一种恶意工具,诱骗用户损失大量加密货币。该扩展伪装成一个合法的交易工具(AggrTrade),但其目的完全是为了窃取资金。用户在不知情的情况下安装了它,然后它通过劫持敏感信息(密码和凭据)访问加密货币交易所和交易平台,大做文章。
该扩展通过获取cookie及其他会话数据来实现功能,这允许它模拟用户的登录并进行未经授权的交易。这导致了盗窃总共约100万美元的资产。它借助社交媒体和营销推广的欺骗手段来传播,引诱受害者下载和安装该扩展,常常来自非官方或可疑的来源。
这个特定的威胁已经被端掉了,但这只是众多恶意尝试中的一个微不足道的例子。目前,其他几个恶意的Chrome扩展在冒充真正的交易服务,旨在窃取加密货币。为了保护自己,只安装来自可信来源的扩展,定期检查权限,并监测账户是否有异常活动。
另外请记住,所有浏览器扩展都能够跟踪你的整个浏览历史,查看你在每个网站上执行的操作,并窃取cookie和其他私密数据。为大额资金使用硬件或纸币钱包,并保持安全软件更新也可以增强你对此类威胁的防护。
保护措施
为了防范诸如此类的加密货币窃取恶意软件,你可以采取一些基本措施:
- 从可信来源安装:只使用来自信誉良好的来源和官方网站的扩展和软件。在安装前验证审查和权限。
- 安装尽可能少的软件:在你的台式机上安装另一个应用程序或浏览器扩展之前,再考虑一下是否真的需要。也许你可以用现有的软件就能实现目标?(但在手机平台上更安全,因为每个应用程序都被放在沙盒中。)
- 定期安全检查:经常检查并删除未使用的扩展或软件。定期检查你的加密账户(在线和离线)和系统中的异常活动。
- 使用强身份验证:对你的帐户启用双因素身份验证(2FA)以增加额外的安全层。在Obyte钱包中,你可以通过从主菜单创建多设备帐户或在设置中设置支付密码来做到这一点。
- 使用反恶意软件工具:使用最新的防病毒和反恶意软件工具来检测和阻止在线和离线威胁。
- 保护加密货币:将重要的加密货币资产存储在硬件或纸币钱包中,以减小在线威胁所带来的风险。借助Obyte钱包,你可以轻松创建自己的纸币钱包,只需生成一个文本币(十二个随机单词),将其写下来,然后删除或阻止软件本身,直到你需要花费资金。
原文标题:5 New Malware Techniques to Steal Your Crypto (2024)
