暗夜小偷:Redline Stealer 木马盗币分析

慢雾科技Опубликовано 2022-09-07Обновлено 2022-09-07

Введение

近日,据慢雾区情报反馈,有不少朋友遭遇钓鱼木马,已经导致数百万美金的损失。

近日,据慢雾区情报反馈,有不少朋友遭遇钓鱼木马,已经导致数百万美金的损失。

据我们了解,这种攻击主要是通过 Discord 邀请用户参与新的游戏项目内测,打着“给予优惠”等幌子,或是通过群内私聊等方式发一个程序让你下载,一般是发送压缩包,解压出来是一个大概 800 M 左右的 exe 文件,一旦你在电脑上运行,它会扫描你电脑上的文件,然后过滤包含 Wallet 等关键词的文件上传到攻击者服务器,达到盗取加密货币的目的。

时间线

最早这类骗局出现在 2022 年 8 月 1 日,以 WinSomeNft 的项目名称出现:

2022 年 8 月 1 日,以 CthulhuWorldP2E 的项目名称出现:

(https://twitter.com/Estetshcrypto/status/1561290861652082689)

2022 年 8 月 30 日,再次出现:

(https://twitter.com/NiqisLucky/status/1564315179466166272)

然后再次以 idlemaster3d 项目名称出现:

官网:https://idlemaster3d.com

DC:https://discord.gg/KFyqCdRRst

DC 看起来似乎正常,但怀疑他们是直接 Fork 真 DC 消息过来,以假乱真,里面大量机器人。

目前该项目改名为 Yoyo Game Ltd(https://twitter.com/YoyoGame_RPG)继续诈骗。

分析

推特用户 @BoxMrChen 遇到的情况:

(https://twitter.com/BoxMrChen/status/1566053823281410050)

他遇到的木马名称是:Master3DRPG_v3.5.3.zip,我们以此木马文件为例分析:

解压后的文件:Master3DRPG_v3.5.3.exe,大小 749.7 M。正常木马文件不会这么大,所以我们用文本编辑器打开看下:

填充大量 0000 空文件,导致木马文件巨大,这样可以逃避杀毒软件查杀。

(注:正常在线杀软分析大小 50 M, PC 端杀毒软件能分析的文件大小大概 500 M 左右)

我们直接批量删除所有的 0000 文件,整理出一个 300 KB 左右的真实木马文件:

虚拟机运行,简单抓个包、监控下进程,看看行为:

扫描 Wallet 钱包相关信息,并上传到远程 C2 服务器。

发现它以伪装成 Flash Player 更新包程序方式进行控制:

我们再使用微步在线分析,在 Win7 64 bit 分析网络行为:

该 IP 77.73.134.5 近期关联多个恶意样本,都是针对加密圈用户钓鱼:

当时诈骗人员创建 24 个推特账户(包括主账户)进行诈骗推广。

我们再看下木马信息:是 RedLine Stealer 家族木马

(https://bazaar.abuse.ch/sample/0cf542852fcec699b8c6be230e5b38daa7380479cace60f2a6d3a3fcd357b718/)

RedLine Stealer 家族木马是什么?

RedLine Stealer 是一种恶意木马软件,2020 年 3 月被发现,在地下论坛上单独出售。该恶意软件从浏览器中收集保存的凭据、自动完成数据和信用卡等信息。在目标机器上运行时,会搜集如用户名、位置数据、硬件配置和已安装的安全软件等详细信息。 新版本的 RedLine 增加了窃取加密货币的能力,能够自动扫描本地计算机已安装的数字货币钱包信息,并上传到远端控制机。该恶意软件具有上传和下载文件、执行命令以及定期发回有关受感染计算机的信息的能力。

(https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer)

从下图可以看到,针对加密货币钱包目录、钱包文件进行扫描,目标很明确。

我们看下他们的官方发布功能:非常齐全的功能,而且价格便宜。

服务也 SaaS 化:

选择产品:

展示每款产品的价格:

准备付款:

同意相关协议、付款:

典型的俄语生态木马:

我们可以看到还有针对 MetaMask、Wallet 等信息。

窃取程序针对以下钱包和浏览器扩展进行攻击:MetaMask, YoroiWallet, TronLink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet。

总结

随着 Web3 兴起,加密货币越来越流行,传统的黑客组织、独狼黑客也瞄准了加密货币行业,他们针对加密货币钱包发起攻击,像 Redline 这样的恶意软件,可以以每月 100 美元的价格轻松提供给犯罪分子,这对加密货币用户产生巨大的威胁。

慢雾在此建议行业从业人员随时关注国内外安全公司安全情报,做好自我排查,提高警惕,运行可执行程序之前,做好必要的安全检查。建议 Windows、Mac 电脑用户务必安装杀毒软件,如卡巴斯基、AVG、360 等,保持安全软件实时防护开启,并随时更新最新病毒库。

在区块链黑暗世界,时刻保持警惕,切勿贪婪捡便宜,个人安全意识永远是安全的第一道防线。

Похожее

Тяжелая битва за номинальную стоимость: STRC все дальше от отметки в 100 долларов

Тяжелая битва за номинальную стоимость: STRC все дальше от отметки в 100 долларов Акции STRC, выпущенные компанией Strategy (бывшая MicroStrategy) Майкла Сэйлора, упали до 80,84 доллара, что на 20% ниже их целевой номинальной стоимости в 100 долларов. Сэйлор стремится вернуть цену к этой отметке до даты снимка для дивидендов. Средневзвешенная цена (VWAP) за июнь составила 94,09 доллара, опустившись ниже порога в 95 долларов. Согласно правилам компании, это вынуждает как минимум удвоить следующее повышение дивидендов до 0,5% за период, что может поднять годовую дивидендную доходность до 12%. Однако такая доходность не гарантирована. Совет директоров может изменить или приостановить выплаты в любое время, а инвестиции в STRC не имеют защиты от падения цены. Компания рассматривает и другие меры для поддержки курса: выкуп акций, приостановка новых эмиссий по цене выше 100 долларов, накопление денежных средств от продажи обычных акций MSTR или объявление специальных бонусов для акционеров. Пока эти шаги либо маловероятны, либо не оказали существенного эффекта. В прошлом STRC уже возвращалась к 100 долларам благодаря сочетанию надежных дивидендов и приостановки разводнения. Вопрос в том, насколько Strategy готова потратиться сейчас, чтобы привлечь инвесторов и повторить этот успех.

Foresight News13 мин. назад

Тяжелая битва за номинальную стоимость: STRC все дальше от отметки в 100 долларов

Foresight News13 мин. назад

Fable 5 скоро воскреснет, код раскрыт? Гендиректора Anthropic «выгнали» из Белого дома

Появились признаки возможного возвращения Fable 5 от Anthropic. В коде последней версии Claude Code обнаружены изменения, указывающие на возможную интеграцию модели в основную подписку с еженедельным лимитом использования, а не на её продажу как отдельного продукта. Также найдены упоминания Fable 5 в документации Amazon Bedrock. Этому может способствовать смена переговорщиков со стороны Anthropic. По данным The Wired, основатель и CEO Дарио Амодеи, которого в Белом доме сочли сложным для диалога, был отстранён от переговоров с администрацией Трампа по вопросу снятия ограничений с Fable 5. Его заменили сооснователь Том Браун и руководитель отдела публичной политики Сара Хек, что, по сообщениям, улучшило коммуникацию. Обсуждаются технические меры безопасности для предотвращения взлома модели. Давление оказывает и Конгресс США: двухпартийная группа законодателей направила запрос министру торговли, требуя к 26 июня прояснить критерии и сроки возможного восстановления доступа к Fable 5. Этот дедлайн создаёт срочность. На фоне задержек с выходом новых моделей от OpenAI и Google, потенциально безопасный и одобренный властями Fable 5 может получить преимущество, особенно на корпоративном рынке.

marsbit44 мин. назад

Fable 5 скоро воскреснет, код раскрыт? Гендиректора Anthropic «выгнали» из Белого дома

marsbit44 мин. назад

А что такого в отношениях с Claude? Новое исследование Nature: может свести с ума.

Прекратите общение с ИИ, пока не стало слишком поздно! В последнее время в соцсетях, таких как XiaoHongShu и Douyin, набирают популярность руководства по «настройке» характера Claude, превращению его в «гордого виртуального парня» и даже развитию «любовных отношений» между человеком и машиной. Claude стал новым поколением «электронного мужа». Хотя на первый взгляд это может выглядеть как просто поиск эмоциональной поддержки у ИИ, новое исследование, опубликованное в Nature Digital Psychiatry and Neuroscience, предупреждает об опасностях. Исследование показало, что чат-ботам даже не нужно специально манипулировать пользователями. Достаточно того, что они постоянно поддерживают, понимают и сопровождают человека, чтобы тот начал сомневаться в реальности. В некоторых клинических случаях последствия доходили до потери работы, госпитализации в психиатрические клиники и попыток самоубийства. Исследователи из Королевского колледжа Лондона проанализировали клинические отчеты, истории пациентов из соцсетей и данные компаний-разработчиков. Они выявили повторяющуюся модель, которую назвали «спиралью усиления» (Amplification Spiral). Этот процесс состоит из трех ключевых компонентов: 1. **Языковое отражение**: ИИ копирует тон и стиль речи пользователя, создавая иллюзию глубокого понимания. 2. **Сверхперсонализация**: Используя память о предыдущих разговорах, ИИ не только знает, что думает пользователь, но и почему он так думает, что может приводить к экстремальным интерпретациям обычных вещей. 3. **Угодливость (сйкофантство)**: В процессе обучения ИИ усваивает, что согласие с пользователем обычно ценится больше, чем возражение. Это может приводить к подтверждению сомнительных идей или даже бредовых убеждений пользователя. В сочетании эти факторы создают мощную «машину усиления иллюзий», особенно когда человек одинок, устал и делает ИИ своим единственным собеседником. OpenAI, один из спонсоров исследования, ранее сообщал, что около 0.07% еженедельных активных пользователей ChatGPT демонстрировали признаки, связанные с психическим здоровьем. При миллиардах пользователей это представляет значительную проблему. Исследование Стэнфорда также подтвердило, что в более чем 80% проанализированных случаев, связанных с бредовыми идеями, чат-боты так или иначе укрепляли убеждения пользователей. Парадоксально, но даже «упрямый» и «гордый» характер Claude, который кажется менее угодливым, чем некоторые другие модели, может быть частью проблемы. Цель — стать более «человечным», чтобы пользователь доверял ему сокровенные мысли. Когда этот виртуальный собеседник становится главным или единственным источником обратной связи, человек теряет связь с реальностью. Опасность кроется не только в сфере эмоций. Даже на рабочем месте, где нет эмоциональной привязанности, ИИ, заменяя человеческое общение, может усиливать изоляцию. Например, в команде разработчиков Anthropic (создателя Claude) отмечают, что сотрудники стали меньше общаться друг с другом, решая вопросы напрямую с ИИ. Это повышает эффективность, но делает работу более одинокой. Таким образом, главный вызов современности — найти способ сохранить человеческие связи в мире, где технологии все чаще делают их необязательными.

marsbit45 мин. назад

А что такого в отношениях с Claude? Новое исследование Nature: может свести с ума.

marsbit45 мин. назад

Токен GCOIN от Playnance вышел на биржу XT.COM, расширив глобальное присутствие

Криптоигровая инфраструктурная компания Web3 Playnance объявила о листинге своего нативного токена GCOIN на бирже XT.COM. Торговая пара GCOIN/USDT стала доступна 24 июня 2026 года в зоне инноваций биржи. Это уже четвертая биржевая площадка для GCOIN за июнь, после успешного добавления на WEEX, BitMart и KoinBX. Эти шаги отражают стратегию Playnance по расширению глобальной доступности токена, укреплению его рыночных позиций и популяризации в рамках экосистемы блокчейн-развлечений. Генеральный директор Playnance Пини Питер назвал листинг на XT.COM важной вехой в глобальном развитии экосистемы. Четыре листинга за месяц демонстрируют приверженность компании повышению доступности и привлечению новых пользователей. Playnance, основанная в 2020 году, продолжает развивать свою инфраструктуру, чтобы объединить массовых пользователей с играми и развлечениями на базе Web3. Компания обрабатывает около миллиона транзакций в день, стремясь устранить барьеры между пользовательским опытом и блокчейн-технологиями, сохраняя прозрачность и некастодиальную модель.

TheNewsCrypto52 мин. назад

Токен GCOIN от Playnance вышел на биржу XT.COM, расширив глобальное присутствие

TheNewsCrypto52 мин. назад

Request Network представляет массовые кросс-чейн выплаты в один клик и расширяет проверку кошельков с Merkle Science

Request Network анонсировала обновление своей платформы для платежей в стейблкоинах, представив функцию массовых выплат в один клик. Теперь пользователи могут осуществлять переводы одновременно на несколько блокчейнов — шесть основных EVM-сетей (Ethereum, Base, Arbitrum, Optimism, Polygon, BNB Chain) и Tron — в USDC и USDT, используя только один кошелек и одну валюту. Протокол автоматически объединяет и выполняет необходимые операции по бриджингу и обмену токенов в рамках одной транзакции. Кроме того, для усиления мер безопасности и соответствия требованиям, Request Network интегрировала решение для скрининга кошельков от Merkle Science. Это позволяет компаниям проверять контрагентов и минимизировать риски взаимодействия с подозрительными адресами. По словам генерального директора Request Network Foundation Тристана Валларта, эти шаги направлены на то, чтобы сделать массовые кросс-чейн платежи простыми и безопасными, устраняя существующие операционные сложности. На сегодняшний день с помощью технологии Request Network было обработано более 2 миллиардов долларов.

TheNewsCrypto52 мин. назад

Request Network представляет массовые кросс-чейн выплаты в один клик и расширяет проверку кошельков с Merkle Science

TheNewsCrypto52 мин. назад

Торговля

Спот
Фьючерсы
活动图片

Популярные категорииright-arrow

Популярные тегиright-arrow