暗夜小偷：Redline Stealer 木马盗币分析

慢雾科技Xuất bản vào 2022-09-07Cập nhật gần nhất vào 2022-09-07

Tóm tắt

近日，据慢雾区情报反馈，有不少朋友遭遇钓鱼木马，已经导致数百万美金的损失。

据我们了解，这种攻击主要是通过 Discord 邀请用户参与新的游戏项目内测，打着“给予优惠”等幌子，或是通过群内私聊等方式发一个程序让你下载，一般是发送压缩包，解压出来是一个大概 800 M 左右的 exe 文件，一旦你在电脑上运行，它会扫描你电脑上的文件，然后过滤包含 Wallet 等关键词的文件上传到攻击者服务器，达到盗取加密货币的目的。

时间线

最早这类骗局出现在 2022 年 8 月 1 日，以 WinSomeNft 的项目名称出现：

2022 年 8 月 1 日，以 CthulhuWorldP2E 的项目名称出现：

(https://twitter.com/Estetshcrypto/status/1561290861652082689)

2022 年 8 月 30 日，再次出现：

(https://twitter.com/NiqisLucky/status/1564315179466166272)

然后再次以 idlemaster3d 项目名称出现：

官网：https://idlemaster3d.com

DC：https://discord.gg/KFyqCdRRst

DC 看起来似乎正常，但怀疑他们是直接 Fork 真 DC 消息过来，以假乱真，里面大量机器人。

目前该项目改名为 Yoyo Game Ltd（https://twitter.com/YoyoGame_RPG）继续诈骗。

分析

推特用户 @BoxMrChen 遇到的情况：

(https://twitter.com/BoxMrChen/status/1566053823281410050)

他遇到的木马名称是：Master3DRPG_v3.5.3.zip，我们以此木马文件为例分析：

解压后的文件：Master3DRPG_v3.5.3.exe，大小 749.7 M。正常木马文件不会这么大，所以我们用文本编辑器打开看下：

填充大量 0000 空文件，导致木马文件巨大，这样可以逃避杀毒软件查杀。

（注：正常在线杀软分析大小 50 M， PC 端杀毒软件能分析的文件大小大概 500 M 左右）

我们直接批量删除所有的 0000 文件，整理出一个 300 KB 左右的真实木马文件：

虚拟机运行，简单抓个包、监控下进程，看看行为：

扫描 Wallet 钱包相关信息，并上传到远程 C2 服务器。

发现它以伪装成 Flash Player 更新包程序方式进行控制：

我们再使用微步在线分析，在 Win7 64 bit 分析网络行为：

该 IP 77.73.134.5 近期关联多个恶意样本，都是针对加密圈用户钓鱼：

当时诈骗人员创建 24 个推特账户（包括主账户）进行诈骗推广。

我们再看下木马信息：是 RedLine Stealer 家族木马

(https://bazaar.abuse.ch/sample/0cf542852fcec699b8c6be230e5b38daa7380479cace60f2a6d3a3fcd357b718/)

RedLine Stealer 家族木马是什么？

RedLine Stealer 是一种恶意木马软件，2020 年 3 月被发现，在地下论坛上单独出售。该恶意软件从浏览器中收集保存的凭据、自动完成数据和信用卡等信息。在目标机器上运行时，会搜集如用户名、位置数据、硬件配置和已安装的安全软件等详细信息。新版本的 RedLine 增加了窃取加密货币的能力，能够自动扫描本地计算机已安装的数字货币钱包信息，并上传到远端控制机。该恶意软件具有上传和下载文件、执行命令以及定期发回有关受感染计算机的信息的能力。

(https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer)

从下图可以看到，针对加密货币钱包目录、钱包文件进行扫描，目标很明确。

我们看下他们的官方发布功能：非常齐全的功能，而且价格便宜。

服务也 SaaS 化：

选择产品：

展示每款产品的价格：

准备付款：

同意相关协议、付款：

典型的俄语生态木马：

我们可以看到还有针对 MetaMask、Wallet 等信息。

窃取程序针对以下钱包和浏览器扩展进行攻击：MetaMask, YoroiWallet, TronLink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet。

总结

随着 Web3 兴起，加密货币越来越流行，传统的黑客组织、独狼黑客也瞄准了加密货币行业，他们针对加密货币钱包发起攻击，像 Redline 这样的恶意软件，可以以每月 100 美元的价格轻松提供给犯罪分子，这对加密货币用户产生巨大的威胁。

慢雾在此建议行业从业人员随时关注国内外安全公司安全情报，做好自我排查，提高警惕，运行可执行程序之前，做好必要的安全检查。建议 Windows、Mac 电脑用户务必安装杀毒软件，如卡巴斯基、AVG、360 等，保持安全软件实时防护开启，并随时更新最新病毒库。

在区块链黑暗世界，时刻保持警惕，切勿贪婪捡便宜，个人安全意识永远是安全的第一道防线。

Nội dung Liên quan

Một cuộc chiến không có tên gọi thống nhất: Bản đồ thế giới mô hình của các "ông lớn" trong nước

Mô hình thế giới (World Model) hiện chưa có tên gọi thống nhất trong ngành, với các tên như mô hình thế giới cơ sở, AI vật lý, hay được tích hợp trong kiến trúc xe tự hành, VLA hoặc hệ thống trí tuệ thể hiện. Mục tiêu chung là để máy móc xây dựng một môi trường động nội bộ có thể suy diễn và phân tích, giảm sự phụ thuộc vào dữ liệu thực tế, từ đó "nén" thế giới thực thành một động cơ dữ liệu có thể tạo, mắc lỗi và thử lại vô hạn. Các gã khổng lồ công nghệ Trung Quốc đang âm thầm biến đây thành một cuộc đua mới. Alibaba tung ra ba hướng tiếp cận riêng biệt cho thế giới ngôn ngữ (Qwen-AgentWorld), thế giới ảo (HappyOyster) và thế giới vật lý (Qwen-RobotWorld). Tencent tập trung vào thế giới 3D có thể chỉnh sửa (HY-World) phục vụ game và xã hội. ByteDance tận dụng dòng video khổng lồ từ TikTok/抖音. Huawei và Baidu không tách riêng khái niệm mà tích hợp nó như nền tảng huấn luyện cho ô tô thông minh và trí tuệ thể hiện. Trong lĩnh vực ô tô, mô hình thế giới trở thành "trường dạy lái" và "phòng thi". NIO, Li Auto, XPeng, Geely và các hãng khác đang phát triển các mô hình để tạo ra và kiểm tra vô số tình huống lái xe phức tạp trong môi trường mô phỏng, nhằm đào tạo và tinh chỉnh hệ thống lái tự động, giảm thiểu nhu cầu thử nghiệm trên đường thực tế. Các nhà cung cấp công nghệ lái xe tự động (ADAS/ADS) như Momenta, Horizon Robotics, Haomo.AI và DeepRoute đang phát triển các "động cơ thế giới" ẩn, tích hợp khả năng mô hình thế giới vào nền tảng mô phỏng và huấn luyện của họ để nhắm mục tiêu tới khả năng tự lái cấp độ cao hơn. Sự cạnh tranh đang chuyển từ việc ai có thể tạo ra mô hình thế giới sang việc mô hình của ai có thể được tích hợp hiệu quả vào các sản phẩm và hệ thống quy mô lớn. Các công ty khởi nghiệp có tốc độ và sự tập trung, nhưng các tập đoàn lớn có lợi thế về dữ liệu, năng lực tính toán và hệ thống triển khai sản phẩm. Mô hình thế giới đang từ một thử nghiệm công nghệ trở thành cơ sở hạ tầng công nghiệp quan trọng cho tương lai của AI, ô tô tự hành và robot.

marsbit10 phút trước

Một cuộc chiến không có tên gọi thống nhất: Bản đồ thế giới mô hình của các "ông lớn" trong nước

marsbit10 phút trước

BitMart Đạt Giấy Phép Dịch Vụ Tài Chính Úc, Củng Cố Khung Tuân Thủ Toàn Cầu

BitMart, một sàn giao dịch tiền điện tử toàn cầu hàng đầu phục vụ hơn 13 triệu người dùng, vừa công bố đã chính thức nhận được Giấy phép Dịch vụ Tài chính Úc (AFSL). Giấy phép này thiết lập BitMart như một thực thể dịch vụ tài chính được quy định theo Khuôn khổ Tài sản Kỹ thuật số mới của Úc, có hiệu lực từ Đạo luật Sửa đổi Doanh nghiệp (Khuôn khổ Tài sản Kỹ thuật số) năm 2026. AFSL đưa BitMart vào cùng chế độ quản lý áp dụng cho các tổ chức tài chính truyền thống, dưới sự giám sát của Ủy ban Chứng khoán và Đầu tư Úc (ASIC). Giấy phép phản ánh các tiêu chuẩn bảo vệ người tiêu dùng cấp độ thể chế, bao gồm tách biệt tài sản khách hàng, công bố sản phẩm minh bạch và quyền tiếp cận cơ chế giải quyết tranh chấp bên ngoài. Ông Nathan Chow, CEO Toàn cầu của BitMart, nhấn mạnh rằng việc đạt được giấy phép này thể hiện cam kết lâu dài của công ty trong việc vận hành theo các tiêu chuẩn cao nhất về bảo vệ người dùng và tuân thủ quy định. AFSL củng cố vị thế tuân thủ toàn cầu, tăng cường mối quan hệ với ngân hàng, và tạo nền tảng để BitMart cung cấp các sản phẩm đa dạng hơn cho khách hàng quốc tế, đặc biệt trong lĩnh vực tài sản thực được mã hóa (RWA) và tài chính truyền thống. BitMart sẽ triển khai nhận diện "Được cấp phép AFSL" và mở rộng năng lực tuân thủ, pháp lý tại địa phương để hỗ trợ tăng trưởng trong khuôn khổ quy định.

TheNewsCrypto33 phút trước

BitMart Đạt Giấy Phép Dịch Vụ Tài Chính Úc, Củng Cố Khung Tuân Thủ Toàn Cầu

TheNewsCrypto33 phút trước

Claude bị chiết xuất quy mô lớn? Anthropic cáo buộc bên liên quan đến Alibaba ‘chưng cất’ mô hình

Anthropic, trong một bức thư gửi Ủy ban Ngân hàng Thượng viện Mỹ, đã cáo buộc các bên liên quan đến Alibaba và phòng thí nghiệm AI Qwen sử dụng gần 25.000 tài khoản gian lận để trích xuất quy mô lớn khả năng của mô hình Claude. Vụ tấn công "chưng cất mô hình" được mô tả là lớn nhất từ trước đến nay này diễn ra từ ngày 22/4 đến 5/6/2026, liên quan hơn 28,8 triệu lượt tương tác. "Chưng cất mô hình" là kỹ thuật dùng đầu ra của một mô hình mạnh để huấn luyện mô hình khác, sao chép một phần khả năng. Anthropic lo ngại điều này có thể dẫn đến rò rỉ các khả năng tiên tiến như kỹ thuật phần mềm và lập luận tác nhân AI. Cáo buộc này xuất hiện trong bối cảnh Mỹ liên tục siết chặt kiểm soát xuất khẩu AI và Lầu Năm Góc đưa Alibaba vào danh sách "công ty quân sự Trung Quốc". Gần đây, Mỹ cũng đã hạn chế xuất khẩu các mô hình Mythos và Fable mới nhất của chính Anthropic. Sự việc làm dấy lên tranh luận về việc kiểm soát truy cập vào các giao diện mô hình AI. Nó có thể thúc đẩy Mỹ yêu cầu các công ty AI tăng cường giám sát tài khoản và chia sẻ thông tin tình báo đe dọa, đồng thời khiến các công ty Trung Quốc khó tiếp cận dịch vụ mô hình tiên tiến hơn. Vụ việc vẫn đang là cáo buộc một phía, chưa có kết luận pháp lý, nhưng nó cho thấy đầu ra của mô hình cũng đang trở thành tài sản bị kiểm soát và tranh chấp trong cạnh tranh AI Mỹ-Trung.

marsbit35 phút trước

Claude bị chiết xuất quy mô lớn? Anthropic cáo buộc bên liên quan đến Alibaba ‘chưng cất’ mô hình

marsbit35 phút trước

Ngành Công nghiệp Mã hóa Bước vào Kỷ nguyên "Chứng Minh": Chỉ Có Tầm Nhìn Là Không Đủ

Tác giả Paul Cafiero (đối tác PR tại a16z) phân tích về sự thay đổi trong ngành công nghiệp tiền mã hóa: từ "thời kỳ hứa hẹn" sang "Kỷ nguyên 'Hãy Chứng Minh Cho Tôi Thấy' (Show Me Era)". Trước đây, một bản whitepaper và tầm nhìn là đủ để thu hút sự chú ý. Tuy nhiên, sự gia nhập của các định chế tài chính truyền thống lớn (như BlackRock, Fidelity, JP Morgan) với các sản phẩm thực tế, cùng với môi trường pháp lý đang trưởng thành và sự hoài nghi ngày càng tăng, đã nâng cao ngưỡng yêu cầu. Giờ đây, việc chỉ có ý tưởng hay là không đủ. Các dự án cần phải chứng minh bằng bằng chứng cụ thể: quan hệ đối tác thực sự với hợp đồng đã ký kết, dữ liệu xác thực được về khối lượng giao dịch trên mainnet, số lượng ví hoạt động, doanh thu và sự phù hợp sản phẩm-thị trường. Câu chuyện phải bắt đầu từ những thành tựu hiện có, như "giảm thời gian chuyển tiền xuyên biên giới từ 3 ngày xuống 4 phút", thay vì chỉ nói về tương lai. Tỷ lệ truyền thông đã đảo ngược: từ 80% tầm nhìn/20% thực chất sang 80% thực chất/20% tầm nhìn. Tầm nhìn vẫn quan trọng nhưng phải được hỗ trợ bởi thành quả. Kỷ nguyên mới này là một xu hướng lâu dài, tạo lợi thế cho những dự án có người dùng thực, dữ liệu thực và đối tác thực, giúp họ nổi bật giữa muôn vàn thông tin. Câu hỏi then chốt là chiến lược truyền thông của bạn nhằm mục đích *chứng minh* hay chỉ để *hứa hẹn*.

链捕手43 phút trước

Ngành Công nghiệp Mã hóa Bước vào Kỷ nguyên "Chứng Minh": Chỉ Có Tầm Nhìn Là Không Đủ

链捕手43 phút trước

Meta theo đuổi thị trường dự đoán: Có thể tránh được con đường thất bại như Metaverse?

**Meta tham gia thị trường dự đoán, liệu có lặp lại thất bại như Metaverse?** Bài báo từ The New York Times tiết lộ Meta đang phát triển ứng dụng dự đoán có tên mã Arena, nơi người dùng sử dụng điểm tích lũy để đặt cược vào kết quả các sự kiện chính trị, thể thao và thời sự. Sau thất bại nặng nề với Metaverse (Reality Labs thua lỗ gần 900 tỷ USD), Meta chuyển hướng sang một lĩnh vực có nhu cầu thực tế. Thị trường dự đoán đang tăng trưởng mạnh, với khối lượng giao dịch ước đạt 1300 tỷ USD trong năm 2026, và dự báo có thể lên tới 1000 tỷ USD vào 2030. Meta có lợi thế khổng lồ với 3.56 tỷ người dùng hoạt động hàng ngày, có thể đưa thị trường dự đoán từ nhỏ lẻ ra đại chúng, giống như cách họ thành công với Stories hay Reels. Arena dự kiến ban đầu sẽ dùng điểm thưởng để tránh các quy định tài chính phức tạp. Tuy nhiên, thách thức lớn nhất của Meta là **khủng hoảng niềm tin và sự giám sát chặt chẽ của cơ quan quản lý**. Công ty có tiền sử xử lý kém các nội dung chính trị và thông tin sai lệch. Các nền tảng dự đoán như Polymarket và Kalshi cũng từng đối mặt với phạt tiền và kiện tụng pháp lý liên quan đến giao dịch nội gián hay hợp đồng bầu cử. Việc tích hợp dự đoán vào mạng xã hội có thể khuếch đại tranh cãi, đặc biệt trong mùa bầu cử. Tài sản quan trọng nhất Meta cần xây dựng cho Arena không phải là lưu lượng truy cập, mà là **uy tín lâu dài** – thứ đã khiến dự án tiền số Libra (Diem) của họ thất bại trước đây. Tóm lại, Arena nắm giữ cơ hội lớn nhờ thị trường tiềm năng và lượng người dùng khổng lồ, nhưng mối đe dọa từ các nhà quản lý và danh tiếng đã tổn hại của Meta có thể khiến dự án gặp rắc rối trước khi nó kịp phát triển. Thành bại sẽ phụ thuộc vào khả năng xử lý rủi ro về nội dung và tuân thủ của công ty.

Foresight News1 giờ trước

Meta theo đuổi thị trường dự đoán: Có thể tránh được con đường thất bại như Metaverse?

Foresight News1 giờ trước

Giao dịch

Giao ngay

Hợp đồng Tương lai