暗夜小偷：Redline Stealer 木马盗币分析

慢雾科技Publicado a 2022-09-07Actualizado a 2022-09-07

Resumen

近日，据慢雾区情报反馈，有不少朋友遭遇钓鱼木马，已经导致数百万美金的损失。

据我们了解，这种攻击主要是通过 Discord 邀请用户参与新的游戏项目内测，打着“给予优惠”等幌子，或是通过群内私聊等方式发一个程序让你下载，一般是发送压缩包，解压出来是一个大概 800 M 左右的 exe 文件，一旦你在电脑上运行，它会扫描你电脑上的文件，然后过滤包含 Wallet 等关键词的文件上传到攻击者服务器，达到盗取加密货币的目的。

时间线

最早这类骗局出现在 2022 年 8 月 1 日，以 WinSomeNft 的项目名称出现：

2022 年 8 月 1 日，以 CthulhuWorldP2E 的项目名称出现：

(https://twitter.com/Estetshcrypto/status/1561290861652082689)

2022 年 8 月 30 日，再次出现：

(https://twitter.com/NiqisLucky/status/1564315179466166272)

然后再次以 idlemaster3d 项目名称出现：

官网：https://idlemaster3d.com

DC：https://discord.gg/KFyqCdRRst

DC 看起来似乎正常，但怀疑他们是直接 Fork 真 DC 消息过来，以假乱真，里面大量机器人。

目前该项目改名为 Yoyo Game Ltd（https://twitter.com/YoyoGame_RPG）继续诈骗。

分析

推特用户 @BoxMrChen 遇到的情况：

(https://twitter.com/BoxMrChen/status/1566053823281410050)

他遇到的木马名称是：Master3DRPG_v3.5.3.zip，我们以此木马文件为例分析：

解压后的文件：Master3DRPG_v3.5.3.exe，大小 749.7 M。正常木马文件不会这么大，所以我们用文本编辑器打开看下：

填充大量 0000 空文件，导致木马文件巨大，这样可以逃避杀毒软件查杀。

（注：正常在线杀软分析大小 50 M， PC 端杀毒软件能分析的文件大小大概 500 M 左右）

我们直接批量删除所有的 0000 文件，整理出一个 300 KB 左右的真实木马文件：

虚拟机运行，简单抓个包、监控下进程，看看行为：

扫描 Wallet 钱包相关信息，并上传到远程 C2 服务器。

发现它以伪装成 Flash Player 更新包程序方式进行控制：

我们再使用微步在线分析，在 Win7 64 bit 分析网络行为：

该 IP 77.73.134.5 近期关联多个恶意样本，都是针对加密圈用户钓鱼：

当时诈骗人员创建 24 个推特账户（包括主账户）进行诈骗推广。

我们再看下木马信息：是 RedLine Stealer 家族木马

(https://bazaar.abuse.ch/sample/0cf542852fcec699b8c6be230e5b38daa7380479cace60f2a6d3a3fcd357b718/)

RedLine Stealer 家族木马是什么？

RedLine Stealer 是一种恶意木马软件，2020 年 3 月被发现，在地下论坛上单独出售。该恶意软件从浏览器中收集保存的凭据、自动完成数据和信用卡等信息。在目标机器上运行时，会搜集如用户名、位置数据、硬件配置和已安装的安全软件等详细信息。新版本的 RedLine 增加了窃取加密货币的能力，能够自动扫描本地计算机已安装的数字货币钱包信息，并上传到远端控制机。该恶意软件具有上传和下载文件、执行命令以及定期发回有关受感染计算机的信息的能力。

(https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer)

从下图可以看到，针对加密货币钱包目录、钱包文件进行扫描，目标很明确。

我们看下他们的官方发布功能：非常齐全的功能，而且价格便宜。

服务也 SaaS 化：

选择产品：

展示每款产品的价格：

准备付款：

同意相关协议、付款：

典型的俄语生态木马：

我们可以看到还有针对 MetaMask、Wallet 等信息。

窃取程序针对以下钱包和浏览器扩展进行攻击：MetaMask, YoroiWallet, TronLink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet。

总结

随着 Web3 兴起，加密货币越来越流行，传统的黑客组织、独狼黑客也瞄准了加密货币行业，他们针对加密货币钱包发起攻击，像 Redline 这样的恶意软件，可以以每月 100 美元的价格轻松提供给犯罪分子，这对加密货币用户产生巨大的威胁。

慢雾在此建议行业从业人员随时关注国内外安全公司安全情报，做好自我排查，提高警惕，运行可执行程序之前，做好必要的安全检查。建议 Windows、Mac 电脑用户务必安装杀毒软件，如卡巴斯基、AVG、360 等，保持安全软件实时防护开启，并随时更新最新病毒库。

在区块链黑暗世界，时刻保持警惕，切勿贪婪捡便宜，个人安全意识永远是安全的第一道防线。

Lecturas Relacionadas

Una guerra sin nombre unificado: El mapa de los Modelos de Mundo de los grandes fabricantes nacionales

**Resumen de las guerras por el modelo mundial: el panorama de las grandes tecnológicas chinas** El concepto de "modelo mundial" aún carece de una definición unificada, adoptando nombres como modelo base del mundo, IA física, o integrándose en sistemas de conducción autónoma o inteligencia corporeizada. Tras esta confusión nominal, la industria persigue un mismo objetivo: dotar a las máquinas de un entorno interno dinámico y simulable para predecir y ensayar acciones, reduciendo la dependencia de datos del mundo real y comprimiéndolo en un "motor de datos" generativo. Los gigantes tecnológicos y automotrices han convertido esto en una nueva arena de competición, relegando a startups con menos recursos de datos y cómputo. **1. Gigantes de Internet: Del mundo digital al físico** * **Alibaba** presenta una estrategia triple: **Qwen-AgentWorld** (entorno de simulación para agentes de IA basado en lenguaje), **HappyOyster** (generación de mundos virtuales interactivos) y **Qwen-RobotWorld** (cerebro de simulación para robótica e inteligencia corporeizada), cubriendo mundos lingüísticos, virtuales y físicos. * **Tencent** centra su **HY-World** en la generación y reconstrucción de entornos 3D editables, aprovechando sus fortalezas en videojuegos y escenarios sociales. * **ByteDance** desarrolla en secreto un modelo basado en la enorme base de datos de vídeos de TikTok/Douyin, con el objetivo de construir un gemelo digital que simule leyes físicas. * **Huawei** integra capacidades de modelo mundial en su **Pangu**, sirviendo como base de entrenamiento para su sistema de conducción autónoma ADS y robótica, sin comercializarlo como producto independiente. * **Baidu** embebe estas capacidades en su modelo de conducción autónoma **Apollo ADFM** y en el modelo multimodal **Ernie**, sin destacar el término "modelo mundial". **2. Fabricantes de automóviles: La escuela de conducción y el campo de pruebas** Para los automovilísticos, el modelo mundial es una herramienta práctica para entrenar y evaluar sistemas de conducción autónoma. * **NIO** fue pionero con su **NWM**, enfocado en la "reconstrucción imaginada" del espacio y la "deducción imaginada" del tiempo. Su versión 2.0 ya se implementa en flota. * **Li Auto** desarrolló **DrivingSphere**, un entorno de simulación 4D de alta fidelidad para generar escenarios complejos y probar el sistema en bucle cerrado. * **XPeng** presentó **X-World**, un "simulador del mundo real" para su VLA de segunda generación, expandiendo masivamente los escenarios de simulación. * **Geely** integra su **WAM (World Action Model)** en una arquitectura unificada para conducción, cabina y chasis. * **BYD** y **Great Wall** también avanzan en su desarrollo, siendo este último el primero en anunciar un sistema VLA+modelo mundial para producción en serie en 2026. **3. Proveedores de tecnología de conducción autónoma: El motor invisible** Firmas como **Momenta** (con su modelo **R7** ya en producción), **Horizon Robotics** (con **HorizonDrive** para generación de vídeo de larga duración y simulación), **Haomo.ai** (pionera con **DriveGPT**) y **DeepRoute** integran el modelo mundial como núcleo de sus plataformas de simulación y entrenamiento para sistemas de nivel L3/L4. **Conclusión: No es una moda, es una escalada** El modelo mundial representa la convergencia natural de los modelos de lenguaje, generación de vídeo y conducción autónoma en el mundo físico. Ha pasado de ser un experimento técnico a una infraestructura industrial crítica. La ventana de oportunidad para las startups se estrecha, ya que los gigantes, con sus vastos datos, capacidad de cómputo y canales de producción, están transformando rápidamente estos modelos en componentes operativos de sus productos y servicios. La cuestión clave ya no es quién tiene un modelo, sino **qué modelo entiende y simula verdaderamente el mundo para tomar decisiones útiles**.

marsbitHace 7 min(s)

Una guerra sin nombre unificado: El mapa de los Modelos de Mundo de los grandes fabricantes nacionales

marsbitHace 7 min(s)

BitMart Obtiene la Licencia de Servicios Financieros de Australia, Reforzando su Marco Global de Cumplimiento Normativo

BitMart, un importante exchange global de criptomonedas con más de 13 millones de usuarios, ha obtenido una Licencia Australiana de Servicios Financieros (AFSL). Esta autorización, bajo el nuevo Marco de Activos Digitales de Australia de 2026, la convierte en una entidad regulada por la Comisión de Valores e Inversiones de Australia (ASIC). La licencia implica estándares institucionales de protección al consumidor, como la segregación de activos de clientes y acceso a resolución de disputas. El CEO global, Nathan Chow, destacó que esta regulación es una base para la confianza y permite ofrecer productos más diversificados, como activos del mundo real tokenizados, a clientes internacionales. La AFSL fortalece el cumplimiento global de BitMart, mejora sus relaciones bancarias y reduce riesgos, estableciendo una base para su expansión en servicios regulados.

TheNewsCryptoHace 31 min(s)

BitMart Obtiene la Licencia de Servicios Financieros de Australia, Reforzando su Marco Global de Cumplimiento Normativo

TheNewsCryptoHace 31 min(s)

¿Extracción masiva de las capacidades de Claude? Anthropic acusa a partes relacionadas con Alibaba de "destilar" su modelo.

Anthropic acusa a operadores vinculados con Alibaba y su laboratorio de IA Qwen de realizar el "mayor ataque conocido de destilación de modelos" contra su sistema Claude. Según una carta dirigida al Comité Bancario del Senado de EE.UU., entre el 22 de abril y el 5 de junio de 2026, se utilizaron alrededor de 25.000 cuentas fraudulentas para realizar más de 28,8 millones de interacciones con Claude, con el objetivo de extraer sus capacidades. La destilación de modelos consiste en utilizar las respuestas de un modelo avanzado para entrenar a otro, replicando así parcialmente sus habilidades sin robar el código fuente. Anthropic advierte que esto podría transferir capacidades en ingeniería de software y razonamiento de agentes. Este caso se produce en un contexto de tensiones: el Pentágono incluyó a Alibaba en su lista de "empresas militares chinas" y el gobierno estadounidense ha impuesto restricciones a la exportación de modelos de IA avanzados, incluidos los de Anthropic. La compañía pide una mejor colaboración entre el gobierno y las empresas para controlar el acceso y compartir información sobre amenazas. Aunque la acusación aún no tiene resolución judicial, destaca cómo las salidas de los modelos de IA se han convertido en un activo estratégico y objeto de disputa en la competencia tecnológica.

marsbitHace 33 min(s)

¿Extracción masiva de las capacidades de Claude? Anthropic acusa a partes relacionadas con Alibaba de "destilar" su modelo.

marsbitHace 33 min(s)

La industria de la criptografía entra en la era de la "demostración": las meras visiones ya no bastan

**La era del "Muéstrame" en cripto: Ya no basta con la visión** El sector tecnológico y, en particular, el de las criptomonedas, ha entrado en una nueva fase: la era del "Muéstrame". Ya no es suficiente con presentar una visión atractiva, un producto mínimo viable (MVP) o un equipo prometedor. El público, cada vez más sofisticado y escéptico tras años de ruido y malos actores, exige pruebas tangibles. Este cambio se debe a varios factores: la creciente desconfianza hacia una tecnología que lleva décimas desarrollándose, la entrada a gran escala de instituciones financieras tradicionales (TradFi) como BlackRock, Fidelity o JPMorgan con productos reales (fondos tokenizados, ETF, soluciones blockchain), y el contraste con industrias como la IA, que han entregado productos consumibles. Estos actores han elevado el listón de lo que se considera un proyecto serio. La narrativa ha pasado de "¿Qué estás construyendo?" a "¿Qué has construido y quién lo usa?". La comunicación efectiva ahora requiere un "stack de pruebas" que incluya: * **Asociaciones reales y ejecutadas**, con contratos e integraciones, no meras conversaciones. * **Datos concretos y verificables** en la red principal (mainnet): volumen, carteras activas, ingresos. * **Señales de ajuste al mercado (product-market fit)**, como una base de usuarios orgánica y creciente que no sean solo inversores. * **Validación por terceros**: auditorías, investigaciones independientes. Para los equipos, esto significa que la historia debe construirse desde los hechos comprobables, no al revés. Un ejemplo concreto ("reducimos la liquidación transfronteriza de 3 días a 4 minutos con 3 empresas usándolo hoy") es más poderoso que una declaración ambiciosa ("construimos el futuro de los pagos"). Esto no hace que la visión sea irrelevante, pero la proporción ha cambiado: antes podía ser 80% visión y 20% sustancia; ahora es lo contrario. La visión da contexto y ambición, pero debe estar respaldada por logros demostrables. Esta mayor exigencia es una buena noticia para los proyectos con fundamentos sólidos, ya que filtra el ruido y permite que su señal genuina resuene con más fuerza. La pregunta clave es si la estrategia de comunicación está diseñada para probar el valor o solo para prometerlo.

链捕手Hace 40 min(s)

La industria de la criptografía entra en la era de la "demostración": las meras visiones ya no bastan

链捕手Hace 40 min(s)

Meta ingresa al mercado de pronósticos siguiendo la tendencia, ¿podrá evitar el fracaso del metaverso?

**TL;DR:** * Según The New York Times, Meta ha formado un pequeño equipo para desarrollar 'Arena', una aplicación de mercados de predicción con un sistema de puntos donde los usuarios podrán apostar sobre resultados políticos, deportivos y de eventos globales. * Los mercados de predicción ya muestran una demanda real. Con 3.560 millones de usuarios diarios, Meta podría llevar este nicho al mercado masivo. * Sin embargo, la crisis de confianza de Meta, sumada al escrutinio sobre elecciones y desinformación, podría convertir a Arena en objetivo regulatorio antes de que pueda escalar. Meta, tras las enormes pérdidas de su apuesta por el metaverso (casi 900.000 millones de dólares en Reality Labs), se adentra ahora en los mercados de predicción. Este sector, con un volumen de negociación anual que se espera supere los 1 billón de dólares para 2030, tiene una base de usuarios establecida, lo que supone un contraste estratégico con la costosa creación del metaverso. Meta posee una ventaja clave: su enorme base de usuarios de 3.560 millones de personas al día, muy superior a la de plataformas existentes como Kalshi o Polymarket. Su estrategia habitual de replicar productos exitosos (como Stories o Reels) e integrarlos en su ecosistema podría funcionar aquí. Además, el desarrollo de Arena, basado principalmente en software, es mucho menos costoso que el del metaverso. No obstante, los desafíos son significativos. Meta ya probó una aplicación similar, 'Forecast', que cerró en 2022. El sector está muy regulado, con ejemplos de multas y disputas legales. La reputación de Meta en el manejo de contenido político, datos y desinformación genera desconfianza entre reguladores. Arena comenzará con un sistema de puntos para evitar la estricta regulación financiera inicial, pero esto podría priorizar la participación sobre la precisión. En resumen, Meta tiene el potencial de popularizar los mercados de predicción, pero su historial de confianza y el entorno regulatorio hostil plantean serios riesgos. Su éxito dependerá de si puede operar Arena sin desencadenar controversias que atraigan la atención de los reguladores, algo en lo que ha fracasado con proyectos financieros anteriores como Libra/Diem.

Foresight NewsHace 57 min(s)

$Meta ingresa al mercado de pronósticos siguiendo la tendencia, ¿podrá evitar el fracaso del metaverso?$

Foresight NewsHace 57 min(s)

Trading

Spot

Futuros