你相信你的加密货币在你睡觉时安全吗？

加密货币恶意软件的崛起

一波新的加密货币恶意软件正在数字资产领域肆虐，这次的攻击者比以往任何时候都更聪明与灵活。此次攻击的前沿是名为“图书管理员幽灵”的俄罗斯高级持续威胁（APT）组织，以及源自Android银行木马的跨平台窃取工具“鳄鱼”。“图书管理员幽灵”的最新攻击活动利用诸如AnyDesk等合法软件来隐藏加密挖矿程序与键盘记录器。一旦他们入侵，便会保持沉默——直到午夜。”——卡巴斯基威胁情报（2025年6月9日）

攻击手段的多样性

该APT团伙将攻击伪装成例行文件（如支付订单）的网络钓鱼电子邮件。一旦打开，这些恶意软件便会：

安装4t Tray Minimizer以隐藏恶意进程。
部署AnyDesk以实现远程访问，并使用XMRig挖掘门罗币。
窃取加密货币钱包凭据与注册表密钥。

2025年的新特点是午夜激活——恶意软件仅在夜间运行，以避免被检测。这种攻击并不仅仅是粗暴的抢劫，而是将技术专长与心理胁迫结合，设法在加密货币交易的每一步进行攻击。

伪装与隐蔽技术

“图书管理员幽灵”还优化了他们的加载程序，以伪装成合法的商业应用程序，通常将恶意软件植入看似无害的文件如支付订单或发票中。当受害者执行文件后，恶意软件安装程序会安静地安装诸如4t Tray Minimizer之类的程序以掩盖其踪迹，并使用AnyDesk进行远程控制。值得注意的是，该团伙使用基于时间的触发器：恶意软件仅在夜间激活，降低了在工作时间被安全团队发现的几率。它采用夜间策略，以便在未被检测的情况下窃取钱包凭据、使用XMRig挖掘门罗币，并提取敏感数据。受害者可能在几周后才意识到问题，此时他们的钱包通常已经被掏空，系统也已损坏，无法轻易恢复。

新兴的“鳄鱼”威胁

最初是一个土耳其银行木马程序的“鳄鱼”现已针对全球加密货币用户：

伪装成Coinbase、MetaMask或挖矿工具的假应用程序。
自动种子短语收集器，扫描设备中的钱包数据。
通过假冒“银行支持”联系方式进行社会工程攻击。

“鳄鱼的新解析器能够以外科手术般的精确度提取种子短语。用户只需点击一个假X链接，钱包就会消失。”——ThreatFabric MTI团队（2025年6月3日）

另一方面，“鳄鱼”迅速从地区威胁演变为全球威胁。不再仅限于Android，它现在还针对恶意浏览器扩展、伪造的桌面应用程序，甚至Telegram机器人以扩大传播范围。这种恶意软件最致命的特性是能够从剪贴板数据、屏幕快照和自动填充数据中窃取种子短语，甚至在受害者意识到自己已成为目标之前完成攻击。威胁行为者开始在暗网论坛上出售被攻陷的钱包的访问权限，从而建立起一个快速增长的黑市，售卖被盗的加密货币资产。

社交媒体与深度伪造的利用

在某些情况下，“鳄鱼”甚至会向受害者的手机发送无辜的“支持”号码，通过技术支持的幌子诱骗用户提供敏感信息。

黑客还在利用X（Twitter）进行：

劫持的认证账户宣传虚假的空投。
链接到钱包耗竭智能合约的二维码。
模仿真实代理人的AI深度伪造支持聊天。

实际案例：在2025年5月，一场深度伪造的“埃隆·马斯克”直播呼吁观众扫描一个二维码以获取“TelsaCoin”赠品。受害者在30分钟内损失超过20万美元。

威胁的一个最具威慑性的趋势是实时深度伪造支持聊天的开发。黑客通过AI生成的化身冒充X（Twitter）上的知名品牌或影响者，提供真实的互动“帮助”，吸引受害者分享他们的种子短语或私钥。这些深度伪造效果极其逼真，甚至一些经验丰富的加密用户也难以识别，其化身模仿知名人物的声音、语气，甚至肢体语言。在一个显著的案例中，一个深度伪造的“埃隆·马斯克”直播在X上推广一个虚假的TelsaCoin赠品，导致数十万美元的损失。