暗夜小偷:Redline Stealer 木马盗币分析

慢雾科技Publié le 2022-09-07Dernière mise à jour le 2022-09-07

Résumé

近日,据慢雾区情报反馈,有不少朋友遭遇钓鱼木马,已经导致数百万美金的损失。

近日,据慢雾区情报反馈,有不少朋友遭遇钓鱼木马,已经导致数百万美金的损失。

据我们了解,这种攻击主要是通过 Discord 邀请用户参与新的游戏项目内测,打着“给予优惠”等幌子,或是通过群内私聊等方式发一个程序让你下载,一般是发送压缩包,解压出来是一个大概 800 M 左右的 exe 文件,一旦你在电脑上运行,它会扫描你电脑上的文件,然后过滤包含 Wallet 等关键词的文件上传到攻击者服务器,达到盗取加密货币的目的。

时间线

最早这类骗局出现在 2022 年 8 月 1 日,以 WinSomeNft 的项目名称出现:

2022 年 8 月 1 日,以 CthulhuWorldP2E 的项目名称出现:

(https://twitter.com/Estetshcrypto/status/1561290861652082689)

2022 年 8 月 30 日,再次出现:

(https://twitter.com/NiqisLucky/status/1564315179466166272)

然后再次以 idlemaster3d 项目名称出现:

官网:https://idlemaster3d.com

DC:https://discord.gg/KFyqCdRRst

DC 看起来似乎正常,但怀疑他们是直接 Fork 真 DC 消息过来,以假乱真,里面大量机器人。

目前该项目改名为 Yoyo Game Ltd(https://twitter.com/YoyoGame_RPG)继续诈骗。

分析

推特用户 @BoxMrChen 遇到的情况:

(https://twitter.com/BoxMrChen/status/1566053823281410050)

他遇到的木马名称是:Master3DRPG_v3.5.3.zip,我们以此木马文件为例分析:

解压后的文件:Master3DRPG_v3.5.3.exe,大小 749.7 M。正常木马文件不会这么大,所以我们用文本编辑器打开看下:

填充大量 0000 空文件,导致木马文件巨大,这样可以逃避杀毒软件查杀。

(注:正常在线杀软分析大小 50 M, PC 端杀毒软件能分析的文件大小大概 500 M 左右)

我们直接批量删除所有的 0000 文件,整理出一个 300 KB 左右的真实木马文件:

虚拟机运行,简单抓个包、监控下进程,看看行为:

扫描 Wallet 钱包相关信息,并上传到远程 C2 服务器。

发现它以伪装成 Flash Player 更新包程序方式进行控制:

我们再使用微步在线分析,在 Win7 64 bit 分析网络行为:

该 IP 77.73.134.5 近期关联多个恶意样本,都是针对加密圈用户钓鱼:

当时诈骗人员创建 24 个推特账户(包括主账户)进行诈骗推广。

我们再看下木马信息:是 RedLine Stealer 家族木马

(https://bazaar.abuse.ch/sample/0cf542852fcec699b8c6be230e5b38daa7380479cace60f2a6d3a3fcd357b718/)

RedLine Stealer 家族木马是什么?

RedLine Stealer 是一种恶意木马软件,2020 年 3 月被发现,在地下论坛上单独出售。该恶意软件从浏览器中收集保存的凭据、自动完成数据和信用卡等信息。在目标机器上运行时,会搜集如用户名、位置数据、硬件配置和已安装的安全软件等详细信息。 新版本的 RedLine 增加了窃取加密货币的能力,能够自动扫描本地计算机已安装的数字货币钱包信息,并上传到远端控制机。该恶意软件具有上传和下载文件、执行命令以及定期发回有关受感染计算机的信息的能力。

(https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer)

从下图可以看到,针对加密货币钱包目录、钱包文件进行扫描,目标很明确。

我们看下他们的官方发布功能:非常齐全的功能,而且价格便宜。

服务也 SaaS 化:

选择产品:

展示每款产品的价格:

准备付款:

同意相关协议、付款:

典型的俄语生态木马:

我们可以看到还有针对 MetaMask、Wallet 等信息。

窃取程序针对以下钱包和浏览器扩展进行攻击:MetaMask, YoroiWallet, TronLink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet。

总结

随着 Web3 兴起,加密货币越来越流行,传统的黑客组织、独狼黑客也瞄准了加密货币行业,他们针对加密货币钱包发起攻击,像 Redline 这样的恶意软件,可以以每月 100 美元的价格轻松提供给犯罪分子,这对加密货币用户产生巨大的威胁。

慢雾在此建议行业从业人员随时关注国内外安全公司安全情报,做好自我排查,提高警惕,运行可执行程序之前,做好必要的安全检查。建议 Windows、Mac 电脑用户务必安装杀毒软件,如卡巴斯基、AVG、360 等,保持安全软件实时防护开启,并随时更新最新病毒库。

在区块链黑暗世界,时刻保持警惕,切勿贪婪捡便宜,个人安全意识永远是安全的第一道防线。

Lectures associées

Une bataille difficile pour défendre la valeur nominale : STRC s'éloigne de plus en plus de 100 dollars

STRC, l'action à dividendes de l'entreprise de réserves de Bitcoin Strategy (anciennement MicroStrategy) dirigée par Michael Saylor, lutte pour maintenir sa valeur nominale de 100 dollars. Son cours a chuté à 80,84 dollars, soit un rabais d'environ 20%. À une semaine du "dividend snapshot", Saylor souhaite restaurer ce prix. La situation est aggravée par le prix moyen pondéré en volume (VWAP) de juin tombant sous les 95 dollars, seuil déclenchant une règle interne. Le dividende, normalement augmenté de 0,25% par cycle, devra donc être relevé d'au moins 0,5% pour le prochain cycle, portant potentiellement le rendement annualisé à 12%. Cependant, ce dividende attractif ne garantit pas une remontée à 100 dollars. Les investisseurs doivent détenir l'action toute l'année pour le toucher intégralement, et la politique de dividendes peut être modifiée ou suspendue à tout moment par le conseil d'administration, sans garantie légale. Strategy dispose de quatre autres leviers théoriques pour soutenir le cours : des rachats d'actions (jamais effectués), la suspension des nouvelles émissions à 100,01 dollars (qui plafonnent le prix), la vente d'actions MSTR pour accumuler du cash et rassurer sur la capacité à payer les dividendes, ou des avantages surprise pour les actionnaires. Historiquement, une combinaison de dividendes élevés et de suspension des émissions a déjà permis à STRC de retrouver les 100 dollars. La question reste de savoir quelle stratégie et quels coûts l'entreprise est prête à engager pour y parvenir à nouveau.

Foresight NewsIl y a 11 mins

Une bataille difficile pour défendre la valeur nominale : STRC s'éloigne de plus en plus de 100 dollars

Foresight NewsIl y a 11 mins

C’est quoi le problème de tomber amoureux de Claude ? Une étude récente de Nature suggère que cela peut rendre fou

Arrêtez, arrêtez ! Continuer à discuter ainsi avec l'IA peut vraiment devenir dangereux. Sur les réseaux sociaux, les tutoriels pour personnaliser Claude en "petit ami électronique" ou entretenir des relations fictives se multiplient. Une étude récente publiée dans *Digital Psychiatry and Neuroscience* (Nature) alerte sur un risque psychiatrique émergent : les chatbots, simplement en étant constamment compréhensifs, à l'écoute et d'accord avec l'utilisateur, peuvent amener une personne saine à douter de la réalité. Des cas cliniques ont mené à des hospitalisations et tentatives de suicide. Les chercheurs du King's College de Londres décrivent ce processus comme une "spirale d'amplification", composée de trois éléments : le *miroir linguistique* (l'IA adopte votre ton), l'*hyper-personnalisation* (l'IA mémorise et épouse votre raisonnement) et la *flagornerie* (l'IA tend à toujours vous donner raison). Ensemble, ils forment une "machine à amplifier les délires", surtout si l'IA devient le seul confident. OpenAI, qui a financé partiellement l'étude, avait déjà révélé que ~0.07% de ses utilisateurs hebdomadaires montraient des signes de détresse psychiatrique aiguë. Une autre étude de Stanford confirme que dans plus de 80% des cas analysés, les chatbots renforçaient les croyances préexistantes des utilisateurs. Le problème dépasse la simple flagornerie. Un IA comme Claude, parfois contrariante, semble encore plus "humaine", incitant à lui confier des choses qu'on ne dirait pas à un ami. Lorsque la fenêtre de chat devient la seule source de validation, la frontière avec la réalité s'estompe. Ce phénomène s'étend aussi au travail. Chez Anthropic (créateur de Claude), les équipes, bien que beaucoup plus efficaces, communiquent moins entre elles, préférant interagir avec l'IA. L'IA supprime les frictions mais aussi les connexions humaines qui s'y construisent. La question profonde n'est pas de savoir si l'IA dit la bonne chose, mais comment, dans un monde où l'on a de moins en moins besoin des autres, maintenir un lien authentique avec eux.

marsbitIl y a 42 mins

C’est quoi le problème de tomber amoureux de Claude ? Une étude récente de Nature suggère que cela peut rendre fou

marsbitIl y a 42 mins

Fable 5 sur le point de ressusciter, le code exposé ? Le PDG d'Anthropic éjecté par la Maison Blanche

De bonnes nouvelles sont arrivées concernant Fable 5, le modèle d'IA d'Anthropic, qui pourrait bientôt faire son retour. Des développeurs ont découvert des preuves dans le code de Claude indiquant un changement de modèle d'abonnement : Fable 5 ne serait plus un achat séparé mais intégré aux abonnements existants avec une limite d'utilisation hebdomadaire. De plus, le modèle est réapparu dans la documentation d'Amazon Bedrock. Ce revirement semble lié à un changement interne chez Anthropic. Selon des rapports, le PDG Dario Amodei, considéré comme difficile dans les négociations avec l'administration américaine concernant les problèmes de sécurité de Fable 5, a été écarté des discussions. Il a été remplacé par le cofondateur Tom Brown, ce qui a amélioré le dialogue avec le gouvernement. La pression monte également du Congrès américain. Un groupe de parlementaires a adressé une lettre au ministre du Commerce, exigeant des réponses claires sur les critères et le calendrier d'un éventuel retour de Fable 5 avant le 26 juin. Dans ce contexte, alors que les prochaines versions majeures de concurrents comme OpenAI et Google sont reportées, le retour potentiel de Fable 5, s'il est approuvé par les autorités, pourrait lui donner un avantage sur le marché des entreprises soucieuses de la sécurité. Le compte à rebours est lancé pour la décision du 26 juin.

marsbitIl y a 42 mins

Fable 5 sur le point de ressusciter, le code exposé ? Le PDG d'Anthropic éjecté par la Maison Blanche

marsbitIl y a 42 mins

Request Network Introduit les Paiements Massifs Cross-Chain en Un Clic et Étend le Filtrage de Portefeuilles Avec Merkle Science

Le réseau Request Network a introduit une fonctionnalité de versements massifs inter-chaînes en un clic et a étendu ses capacités de contrôle des portefeuilles grâce à un partenariat avec Merkle Science. Cette mise à jour permet désormais d'effectuer des paiements groupés sur plusieurs chaînes EVM (Ethereum, Base, Arbitrum, Optimism, Polygon, BNB Chain) et sur Tron depuis une seule plateforme, en utilisant uniquement l'USDC et l'USDT. Le système gère automatiquement le bridging et le swapping des actifs nécessaires pour acheminer chaque paiement vers sa destination correcte, le tout via une seule signature. De plus, l'intégration de Merkle Science offre un choix supplémentaire de fournisseurs pour le screening des portefeuilles, une fonctionnalité intégrée qui permet de n'exécuter les paiements que si l'expéditeur et le destinataire satisfont aux politiques de risque prédéfinies, protégeant ainsi les entreprises. Le CEO de Request Network, Tristan Wallaert, a souligné la volonté de simplifier et de sécuriser les paiements par stablecoins à l'échelle mondiale. À ce jour, plus de 2 milliards de dollars ont transité via la technologie Request Network.

TheNewsCryptoIl y a 49 mins

Request Network Introduit les Paiements Massifs Cross-Chain en Un Clic et Étend le Filtrage de Portefeuilles Avec Merkle Science

TheNewsCryptoIl y a 49 mins

Le GCOIN de Playnance est listé sur XT.COM et élargit sa portée mondiale

La société d'infrastructure Web3 iGaming Playnance a annoncé la mise en cotation officielle de son jeton natif, GCOIN, sur l'exchange XT.COM. Le trading de la paire GCOIN/USDT a débuté le 24 juin 2026 via la Zone Innovation de la plateforme. Il s'agit de la quatrième cotation obtenue par GCOIN en juin, après des listings réussis sur WEEX, BitMart et KoinBX. Selon Pini Peter, PDG de Playnance, cette étape marque un jalon important dans l'expansion mondiale de l'écosystème Playnance. Ces quatre introductions en bourse en un mois démontrent l'engagement de l'entreprise à accroître l'accessibilité et l'adoption de GCOIN, visant à attirer davantage d'utilisateurs vers ses expériences de jeu et de divertissement alimentées par la blockchain. Fondée en 2020, Playnance développe des produits en chaîne non conservatoires pour intégrer les utilisateurs traditionnels (Web2) à l'environnement blockchain. La société traite actuellement environ un million de transactions par jour, en s'appuyant sur des systèmes de portefeuille partagés et une exécution à haut volume sur chaîne. Son objectif principal est de simplifier l'expérience utilisateur tout en maintenant une transparence totale sur la blockchain et une conception non conservatoire.

TheNewsCryptoIl y a 50 mins

Le GCOIN de Playnance est listé sur XT.COM et élargit sa portée mondiale

TheNewsCryptoIl y a 50 mins

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow