最近多個社交媒體賬戶遭到入侵,這起攻擊事件中攻擊者使用了名為加密貨幣竊取軟體(crypto-drainer)的惡意軟體家族,它們常常透過加密貨幣竊取軟體即服務(DaaS)平臺進行。最近受到攻擊的受害者包括證券交易委員會 (SEC)和Mandiant。
儘管加密貨幣竊取軟體和加密貨幣竊取軟體即服務至少自2021年以來就開始存在,但幾乎沒有受到安全研究人員的太大關注。本文側重介紹加密貨幣竊取軟體和DaaS,以幫助大家進一步認識這類威脅及其造成的影響。
加密貨幣竊取軟體是一種惡意工具或指令碼,專門用於將加密貨幣從受害者的錢包轉移或重定向到攻擊者控制的錢包。針對MetaMask的加密貨幣竊取軟體首次出現在2021年前後,當時它們在地下論壇和市場上公開兜售。
圖1. 2021年有關Metamask加密貨幣竊取軟體服務的帖子
然而,加密貨幣竊取軟體及類似的攻擊可能以多種形式存在。
惡意的智慧合約可能含有觸發未經授權轉移加密貨幣的隱藏功能,其他形式的加密貨幣竊取軟體可能利用NFT或基於代幣的觸發器來生成虛假資源,進而為隱蔽性、未經授權地轉移加密貨幣提供便利。
加密貨幣竊取軟體常常透過DaaS模式加以提供,DaaS供應商向網路犯罪分子提供軟體和支援,並從被盜資金中分成。
現代DaaS通常提供的服務包括如下:
1. 成套的加密貨幣竊取指令碼
2. 可以定製的智慧合約
3. 網路釣魚工具和社會工程服務
4. 高階OPSEC或安全和匿名服務
4. 整合輔助和混合/混淆
5. 持續的更新、維護和技術支援
比如說,成套或隨時可用的加密貨幣竊取指令碼用於方便從目標錢包中自動竊取加密貨幣。它們做得易於理解和部署,幾乎不需要具備相關知識。
圖2. 在Telegram和Discord上兜售的NFT竊取軟體的文件和設定指南
被盜的加密貨幣在DaaS使用者和DaaS運營團伙之間分配,視提供的服務而定,運營團伙通常拿到5%至25%的分成。
如果威脅組織成功地接管社交媒體賬戶,並利用這些賬戶向廣大受眾推送惡意內容,加密貨幣竊取攻擊會給他們帶來巨大利潤,就像Mandiant和SEC最近遭遇的那樣,這些惡意內容在受眾看來似乎是安全的。
圖3
據報道,去年12月下旬,加密貨幣竊取軟體使用1萬多個網路釣魚網站從63000人手中竊取了5900萬美元。
這些攻擊通常以蠻力密碼攻擊開始。這需要系統性地嘗試所有可能的密碼,直至找到正確的密碼,缺少雙因子身份驗證(2FA)或多因子身份驗證(MFA)的賬戶特別容易受到這種攻擊。
一旦攻擊者獲得了賬戶的訪問許可權,就能夠將網路釣魚連結分發到託管加密貨幣竊取軟體的網站。比如說,他們可能會從提供免費NFT或其他獎勵的賬戶向訪問網站並簽名交易的人釋出內容。不知情的受害者以為收到有價值的東西,早早準備好了連線錢包,殊不知這個網站含有會將其錢包洗劫一空的竊取軟體指令碼。
攻擊者使用X、Telegram和Discord等平臺傳播網路釣魚連結,利用中招的可靠賬戶的信譽度和影響力攻擊更多的受害者。
在Mandiant事件中,攻擊者使用一種名為CLINKSINK的惡意軟體,這個經過混淆處理的JavaScript竊取軟體用以加密貨幣主題誘餌的網路釣魚連結使受害者上鉤。這些誘餌常常偽裝成合法的加密貨幣資源,包括BONK、DappRadar和Phantom。
圖4. 圖片來源Mandiant
受害者上當後連線錢包以便接收“空投”——將代幣或貨幣分發到其他錢包地址,作為一種獎勵或推廣。然後他們被要求籤名“交易”以完成轉移。這對加密貨幣竊賊來說是至關重要的一步,因為它涉及到受害者使用他們的私鑰在區塊鏈網路上驗證自己。如果使用者完成了這一步,隨後可以繼續獲取加密貨幣,將受害者錢包中的資產轉移到他們自己的錢包中。
Mandiant表示,它在最近的CLINKSINK活動中發現了42個獨特的錢包地址用來接收被盜資金。許多不同的DaaS服務使用CLINKSINK惡意軟體,目前尚不清楚哪個DaaS對與Mandiant有關的特定事件負責。
自2023年以來,加密貨幣竊取軟體變得越來越猖獗,許多如今在地下市場做廣告。Mandiant確定Chick竊取軟體和Rainbow竊取軟體是使用CLINKSINK的兩種DaaS服務。然而,也有人懷疑CLINKSINK原始碼可能已洩露,已被多個威脅組織所使用。另外兩種公然大肆銷售的DaaS服務是Angel竊取軟體和Rugging的多鏈竊取軟體。
Angel竊取軟體是在2023年8月前後出現的DaaS,它提供的工具和服務由GhostSec等臭名昭著的威脅組織大打廣告。除了抽成20%外,運營團伙還要求DaaS使用者繳納5000美元至10000美元的初始押金。
圖5. Angel竊取軟體v8.2
Rugging的多鏈竊取軟體是另一種聲稱支援20種不同加密貨幣平臺的服務。運營團伙試圖透過低價來吸引DaaS使用者,從DaaS使用者的收益中提成5%-10%。
雖然加密貨幣竊取軟體的主要目的是竊取個人的加密貨幣資產,但我們應該保持警惕,因為它們的社交媒體賬戶可能成為攻擊鏈的一部分。
為了對付來自加密貨幣竊取軟體的攻擊威脅,確保為所有社交媒體賬戶啟用2FA或MFA非常重要。建議加密貨幣使用者對NFT、“空投”及其他加密貨幣廣告也要保持警惕。使用者還應該考慮採用基於硬體的錢包來增強安全性。
就像之前的勒索軟體即服務(RaaS)一樣,竊取軟體即服務具有低技能、低風險、高回報的特點,為不懷好意的人提供了輕鬆進入犯罪生態系統的途徑。就安全方面而言,我們應該像對待其他企業服務那樣謹慎對待社交媒體賬戶的憑據和訪問許可權。
參考及來源:https://www.sentinelone.com/blog/the-rise-of-drainer-as-a-service-understanding-daas/
