在區塊鏈黑暗世界,個人安全意識永遠是安全的第一道防線。

作者:愛上平頂山&耀

原用標題:暗夜小偷:Redline Stealer 木馬盜幣分析

近日,據慢霧區情報反饋,有不少朋友遭遇釣魚木馬,已經導致數百萬美金的損失。

據我們了解,這種攻擊主要是通過 Discord 邀請用戶參與新的遊戲項目內測,打著 “給予優惠” 等幌子,或是通過群內私聊等方式發一個程序讓你下載,一般是發送壓縮包,解壓出來是一個大概 800 M 左右的 exe 文件,一旦你在電腦上運行,它會掃描你電腦上的文件,然後過濾包含 Wallet 等關鍵詞的文件上傳到攻擊者服務器,達到盜取加密貨幣的目的。

時間線

最早這類騙局出現在 2022 年 8 月 1 日,以 WinSomeNft 的項目名稱出現:

圖片

2022 年 8 月 1 日,以 CthulhuWorldP2E 的項目名稱出現:

圖片
(https://twitter.com/Estetshcrypto/status/1561290861652082689)

2022 年 8 月 30 日,再次出現:

圖片
(https://twitter.com/NiqisLucky/status/1564315179466166272)

然後再次以 idlemaster3d 項目名稱出現:

官網:https://idlemaster3d.com

DC:https://discord.gg/KFyqCdRRst

圖片
圖片

DC 看起來似乎正常,但懷疑他們是直接 Fork 真 DC 消息過來,以假亂真,裡面大量機器人。

圖片

目前該項目改名為 Yoyo Game Ltd(https://twitter.com/YoyoGame_RPG)繼續詐騙。

分析

推特用戶 @BoxMrChen 遇到的情況:

圖片
(https://twitter.com/BoxMrChen/status/1566053823281410050)

他遇到的木馬名稱是:Master3DRPG_v3.5.3.zip,我們以此木馬文件為例分析:

圖片

解壓後的文件:Master3DRPG_v3.5.3.exe,大小 749.7 M。正常木馬文件不會這麼大,所以我們用文本編輯器打開看下:

圖片

填充大量 0000 空文件,導致木馬文件巨大,這樣可以逃避殺毒軟件查殺。

(注:正常在線殺軟分析大小 50 M, PC 端殺毒軟件能分析的文件大小大概 500 M 左右)

我們直接批量刪除所有的 0000 文件,整理出一個 300 KB 左右的真實木馬文件:

圖片

虛擬機運行,簡單抓個包、監控下進程,看看行為:

圖片

掃描 Wallet 錢包相關信息,並上傳到遠程 C2 服務器。

發現它以偽裝成 Falsh Palyer 更新包程序方式進行控制:

圖片

我們再使用微步在線分析,在 Win7 64 bit 分析網絡行為:

圖片
圖片
圖片

該 IP 77.73.134.5 近期關聯多個惡意樣本,都是針對加密圈用戶釣魚:

圖片
圖片

當時詐騙人員創建 24 個推特賬戶(包括主賬戶)進行詐騙推廣。

我們再看下木馬信息:是 RedLine Stealer 家族木馬

圖片
(https://bazaar.abuse.ch/sample/0cf542852fcec699b8c6be230e5b38daa7380479cace60f2a6d3a3fcd357b718/)

RedLine Stealer 家族木馬是什麼?

RedLine Stealer 是一種惡意木馬軟件,2020 年 3 月被發現,在地下論壇上單獨出售。該惡意軟件從瀏覽器中收集保存的憑據、自動完成數據和信用卡等信息。在目標機器上運行時,會蒐集如用戶名、位置數據、硬件配置和已安裝的安全軟件等詳細信息。新版本的 RedLine 增加了竊取加密貨幣的能力,能夠自動掃描本地計算機已安裝的數字貨幣錢包信息,並上傳到遠端控制機。該惡意軟件具有上傳和下載文件、執行命令以及定期發回有關受感染計算機的信息的能力。

圖片
(https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer)

從下圖可以看到,針對加密貨幣錢包目錄、錢包文件進行掃描,目標很明確。

圖片

我們看下他們的官方發布功能:非常齊全的功能,而且價格便宜。

圖片

服務也 SaaS 化:

圖片

選擇產品:

圖片

展示每款產品的價格:

圖片

準備付款:

圖片

同意相關協議、付款:

圖片

典型的俄語生態木馬:

圖片

我們可以看到還有針對 MetaMask、Wallet 等信息。

竊取程序針對以下錢包和瀏覽器擴展進行攻擊:MetaMask, YoroiWallet, TronLink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet。

總結

隨著 Web3 興起,加密貨幣越來越流行,傳統的黑客組織、獨狼黑客也瞄準了加密貨幣行業,他們針對加密貨幣錢包發起攻擊,像 Redline 這樣的惡意軟件,可以以每月 100 美元的價格輕鬆提供給犯罪分子,這對加密貨幣用戶產生巨大的威脅。 

慢霧在此建議行業從業人員隨時關注國內外安全公司安全情報,做好自我排查,提高警惕,運行可執行程序之前,做好必要的安全檢查。建議 Windows、Mac 電腦用戶務必安裝殺毒軟件,如卡巴斯基、AVG、360 等,保持安全軟件實時防護開啟,並隨時更新最新病毒庫。

在區塊鏈黑暗世界,時刻保持警惕,切勿貪婪撿便宜,個人安全意識永遠是安全的第一道防線。

技術擴展閱讀:

https://securityscorecard.com/research/detailed-analysis-redline-stealer

https://cyberint.com/blog/research/redline-stealer/

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。