暗夜小偷：Redline Stealer 木马盗币分析

慢雾科技Publié le 2022-09-07Dernière mise à jour le 2022-09-07

Résumé

近日，据慢雾区情报反馈，有不少朋友遭遇钓鱼木马，已经导致数百万美金的损失。

据我们了解，这种攻击主要是通过 Discord 邀请用户参与新的游戏项目内测，打着“给予优惠”等幌子，或是通过群内私聊等方式发一个程序让你下载，一般是发送压缩包，解压出来是一个大概 800 M 左右的 exe 文件，一旦你在电脑上运行，它会扫描你电脑上的文件，然后过滤包含 Wallet 等关键词的文件上传到攻击者服务器，达到盗取加密货币的目的。

时间线

最早这类骗局出现在 2022 年 8 月 1 日，以 WinSomeNft 的项目名称出现：

2022 年 8 月 1 日，以 CthulhuWorldP2E 的项目名称出现：

(https://twitter.com/Estetshcrypto/status/1561290861652082689)

2022 年 8 月 30 日，再次出现：

(https://twitter.com/NiqisLucky/status/1564315179466166272)

然后再次以 idlemaster3d 项目名称出现：

官网：https://idlemaster3d.com

DC：https://discord.gg/KFyqCdRRst

DC 看起来似乎正常，但怀疑他们是直接 Fork 真 DC 消息过来，以假乱真，里面大量机器人。

目前该项目改名为 Yoyo Game Ltd（https://twitter.com/YoyoGame_RPG）继续诈骗。

分析

推特用户 @BoxMrChen 遇到的情况：

(https://twitter.com/BoxMrChen/status/1566053823281410050)

他遇到的木马名称是：Master3DRPG_v3.5.3.zip，我们以此木马文件为例分析：

解压后的文件：Master3DRPG_v3.5.3.exe，大小 749.7 M。正常木马文件不会这么大，所以我们用文本编辑器打开看下：

填充大量 0000 空文件，导致木马文件巨大，这样可以逃避杀毒软件查杀。

（注：正常在线杀软分析大小 50 M， PC 端杀毒软件能分析的文件大小大概 500 M 左右）

我们直接批量删除所有的 0000 文件，整理出一个 300 KB 左右的真实木马文件：

虚拟机运行，简单抓个包、监控下进程，看看行为：

扫描 Wallet 钱包相关信息，并上传到远程 C2 服务器。

发现它以伪装成 Flash Player 更新包程序方式进行控制：

我们再使用微步在线分析，在 Win7 64 bit 分析网络行为：

该 IP 77.73.134.5 近期关联多个恶意样本，都是针对加密圈用户钓鱼：

当时诈骗人员创建 24 个推特账户（包括主账户）进行诈骗推广。

我们再看下木马信息：是 RedLine Stealer 家族木马

(https://bazaar.abuse.ch/sample/0cf542852fcec699b8c6be230e5b38daa7380479cace60f2a6d3a3fcd357b718/)

RedLine Stealer 家族木马是什么？

RedLine Stealer 是一种恶意木马软件，2020 年 3 月被发现，在地下论坛上单独出售。该恶意软件从浏览器中收集保存的凭据、自动完成数据和信用卡等信息。在目标机器上运行时，会搜集如用户名、位置数据、硬件配置和已安装的安全软件等详细信息。新版本的 RedLine 增加了窃取加密货币的能力，能够自动扫描本地计算机已安装的数字货币钱包信息，并上传到远端控制机。该恶意软件具有上传和下载文件、执行命令以及定期发回有关受感染计算机的信息的能力。

(https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer)

从下图可以看到，针对加密货币钱包目录、钱包文件进行扫描，目标很明确。

我们看下他们的官方发布功能：非常齐全的功能，而且价格便宜。

服务也 SaaS 化：

选择产品：

展示每款产品的价格：

准备付款：

同意相关协议、付款：

典型的俄语生态木马：

我们可以看到还有针对 MetaMask、Wallet 等信息。

窃取程序针对以下钱包和浏览器扩展进行攻击：MetaMask, YoroiWallet, TronLink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet。

总结

随着 Web3 兴起，加密货币越来越流行，传统的黑客组织、独狼黑客也瞄准了加密货币行业，他们针对加密货币钱包发起攻击，像 Redline 这样的恶意软件，可以以每月 100 美元的价格轻松提供给犯罪分子，这对加密货币用户产生巨大的威胁。

慢雾在此建议行业从业人员随时关注国内外安全公司安全情报，做好自我排查，提高警惕，运行可执行程序之前，做好必要的安全检查。建议 Windows、Mac 电脑用户务必安装杀毒软件，如卡巴斯基、AVG、360 等，保持安全软件实时防护开启，并随时更新最新病毒库。

在区块链黑暗世界，时刻保持警惕，切勿贪婪捡便宜，个人安全意识永远是安全的第一道防线。

Lectures associées

La guerre sans nom unifié : la cartographie mondiale des modèles des grandes entreprises chinoises

Le terme « modèle du monde » n’a pas encore de désignation unique dans l'industrie. Chaque grand acteur développe sa propre version sous différents noms : modèle du monde, modèle physique d'IA, ou intégré dans des systèmes de conduite autonome, de VLA ou d'intelligence incarnée. L'objectif commun est de permettre aux machines de créer un environnement dynamique interne, simulable et rejouable, réduisant ainsi la dépendance aux données réelles et transformant le monde physique en un moteur de données génératif et infini. Les géants d'Internet comme Alibaba, Tencent, ByteDance, Huawei et Baidu explorent divers aspects, des mondes langagiers et virtuels aux reconstructions 3D et jumeaux numériques, souvent en lien avec leurs écosystèmes (jeux, réseaux sociaux, cloud). Les constructeurs automobiles (NIO, Li Auto, XPeng, Geely, etc.) l'utilisent comme un « simulateur de conduite » avancé pour générer des scénarios complexes, entraîner les systèmes de pilotage autonome et accélérer les itérations. Les fournisseurs de solutions de conduite autonome (Momenta, Horizon Robotics, Haomo.ai, etc.) en font un « moteur invisible » intégré à leurs plateformes, visant une validation massive et la future norme L4. Les startups, bien qu'agiles et innovantes, manquent souvent de données, de puissance de calcul et de débouchés industriels comparés aux grands groupes. Ces derniers transforment progressivement le modèle du monde d'un projet de R&D en une infrastructure opérationnelle au cœur de leurs produits (voitures, robots, jeux). La compétition évolue ainsi de « qui a un modèle » vers « dont le modèle comprend et simule réellement le monde physique de manière utile et déployable ». La course est désormais lancée pour maîtriser cette nouvelle couche fondamentale de l'intelligence artificielle.

marsbitIl y a 6 mins

La guerre sans nom unifié : la cartographie mondiale des modèles des grandes entreprises chinoises

marsbitIl y a 6 mins

BitMart obtient une licence de services financiers australienne, renforçant son cadre de conformité mondiale

BitMart, une plateforme mondiale d'échange de cryptomonnaies comptant plus de 13 millions d'utilisateurs, a annoncé l'obtention d'une Licence Australienne de Services Financiers (AFSL). Cette autorisation, délivrée dans le cadre du nouveau régime australien pour les actifs numériques de 2026, établit BitMart en tant qu'entité de services financiers régulée, au même titre que les institutions traditionnelles, sous la supervision de l'ASIC. Cette licence atteste de normes institutionnelles en matière de protection des consommateurs, incluant la ségrégation des actifs clients, des divulgations claires sur les produits et un accès à un mécanisme externe de règlement des différends (AFCA). Elle renforce la posture de conformité mondiale de BitMart, aligne ses pratiques avec les standards internationaux (GAFI, UE, Singapour, Hong Kong) et consolide ses relations bancaires. Selon Nathan Chow, PDG mondial de BitMart, cette licence constitue un fondement essentiel pour la confiance et permet à la plateforme d'offrir à sa clientèle internationale une gamme de produits plus diversifiée, notamment dans les actifs tokenisés (RWA) et la finance traditionnelle. BitMart prévoit de déployer la mention "AFSL Licensed" et d'étendre ses capacités locales pour soutenir cette croissance régulée.

TheNewsCryptoIl y a 32 mins

BitMart obtient une licence de services financiers australienne, renforçant son cadre de conformité mondiale

TheNewsCryptoIl y a 32 mins

Les capacités de Claude ont-elles été massivement extraites ? Anthropic accuse une partie liée à Alibaba d'avoir « distillé » le modèle

Anthropic accuse des entités liées à Alibaba et à son laboratoire d'IA Qwen d'avoir mené une attaque de "distillation" de modèle à grande échelle contre son IA Claude. Selon une lettre adressée au Sénat américain, l'attaque aurait eu lieu entre le 22 avril et le 5 juin 2026, utilisant environ 25 000 comptes frauduleux pour effectuer plus de 28,8 millions d'interactions avec Claude. La distillation de modèle consiste à utiliser les sorties d'un modèle puissant pour entraîner un autre modèle, permettant une copie partielle de ses capacités sans voler son code source. Anthropic décrit cette opération comme la plus importante attaque de ce type jamais constatée, visant potentiellement à acquérir des compétences avancées en ingénierie logicielle et en raisonnement. Cette accusation intervient dans un contexte de tensions géopolitiques, alors que les États-Unis renforcent les contrôles à l'exportation sur l'IA et que le département de la Défense a inscrit Alibaba sur une liste d'entreprises militaires chinoises. Anthropic appelle à un meilleur partage des renseignements sur les menaces et à des contrôles d'accès plus stricts pour les modèles d'IA. L'affaire met en lumière la sensibilité croissante des sorties des modèles d'IA, désormais considérées comme des actifs stratégiques dans la compétition technologique. Alibaba n'a pas répondu aux accusations, et les détails sur les entités responsables et l'étendue réelle de l'extraction des capacités restent à confirmer.

marsbitIl y a 34 mins

Les capacités de Claude ont-elles été massivement extraites ? Anthropic accuse une partie liée à Alibaba d'avoir « distillé » le modèle

marsbitIl y a 34 mins

L'industrie de la cryptographie entre dans l'ère du "Prouvez-le" : la seule vision ne suffit plus

L'industrie de la cryptographie est entrée dans l'ère du "Montrez-moi" (Show Me Era). Alors que le secteur technologique était autrefois porté par des idées et des produits minimums viables (MVP), le paysage a changé. L'arrivée massive d'institutions de finance traditionnelle (TradFi) comme BlackRock, Fidelity et JPMorgan, lançant des produits concrets tels que des fonds tokenisés et des ETF, a considérablement relevé la barre. Les projets ne peuvent plus se contenter de promesses, de livres blancs ou de visions ambitieuses. Désormais, pour obtenir de la crédibilité auprès des médias, des partenaires et du marché, les projets doivent fournir des preuves tangibles. Cela implique de démontrer des partenariats réels avec des intégrations concrètes, de partager des données vérifiables sur la chaîne (volume de transactions sur le mainnet, nombre de portefeuilles actifs), et de prouver une adéquation produit-marché via une communauté organique et des clients récurrents. La communication efficace doit donc s'appuyer sur un "stack de preuves", en mettant d'abord en avant ce qui est déjà construit et utilisé. Par exemple, affirmer réduire le temps de règlement transfrontalier de trois jours à quatre minutes avec des entreprises clientes est bien plus puissant qu'énoncer une simple vision sur l'avenir des paiements. Si la vision reste importante, le ratio de la communication a basculé : il faut désormais 80% de substance et de preuves pour 20% de vision. Cette évolution, accentuée par un cadre réglementaire qui se précise, n'est pas temporaire. Elle profite aux projets sérieux ayant des fondamentaux solides, en filtrant le bruit et en permettant à leurs véritables signaux de ressortir. La question clé pour les équipes est de savoir si leur stratégie de communication est conçue pour prouver leurs réalisations ou simplement pour faire des promesses.

链捕手Il y a 40 mins

L'industrie de la cryptographie entre dans l'ère du "Prouvez-le" : la seule vision ne suffit plus

链捕手Il y a 40 mins

Meta se lance à son tour dans le marché des prédictions, pourra-t-elle éviter les erreurs de son échec dans le métavers ?

Meta met en place une petite équipe pour développer Arena, une application de paris prédictifs utilisant un système de points sur des événements politiques, sportifs et d'actualité. Ce mouvement intervient après les lourdes pertes de son division métavers (Reality Labs), qui a accumulé près de 900 milliards de dollars de déficit. Le marché des prédictifs, avec un volume mensuel combiné d'environ 240 milliards de dollars sur les plateformes leaders en 2026, présente une demande réelle et croissante. Meta, avec ses 3,56 milliards d'utilisateurs actifs quotidiens, possède l'avantage de l'audience pour démocratiser ce créneau, comme elle l'a fait pour les stories ou les reels. Cependant, l'entreprise se heurte à de sérieux défis. Son application précédente, Forecast, a été fermée en 2022. Le secteur est très réglementé : des amendes ont été infligées pour trading non autorisé et la première poursuite pour délit d'initié sur un marché prédictif a eu lieu en 2026. La décision initiale d'Arena de n'utiliser que des points vise à éviter une régulation financière stricte. La crise de confiance persistante de Meta, notamment due à sa gestion controversée des informations politiques et erronées, constitue un handicap majeur. Les régulateurs restent méfiants, comme en témoigne l'échec du projet de cryptomonnaie Diem. Pour réussir, Arena devra trouver un équilibre entre l'exploitation de l'énorme base d'utilisateurs de Meta et la construction d'une crédibilité à long terme, tout en naviguant dans un paysage réglementaire complexe et en évitant les controverses liées aux élections et aux fausses informations.

Foresight NewsIl y a 57 mins

Meta se lance à son tour dans le marché des prédictions, pourra-t-elle éviter les erreurs de son échec dans le métavers ?

Foresight NewsIl y a 57 mins

Trading

Spot

Futures