全球打击“网络犯罪即服务”恶意软件行动
一场针对“网络犯罪即服务”恶意软件的全球打击行动成功冻结了数千万美元的被盗资金。Europol在周三表示,执法部门在“终局行动”的最新阶段中,识别、标记并冻结了超过4100万欧元(约合4700万美元)的犯罪加密资产。
恶意软件家族的摧毁
这场为期两周的多国行动摧毁了三种恶意软件家族的基础设施:SocGholish、Amadey和StealC。这三种恶意软件均以加密用户为目标。StealC自2023年起作为服务出售,能够从感染的计算机中提取密码、浏览器Cookies和加密钱包数据。
研究人员在Proofpoint发现,其控制面板甚至包含一个插件,试图解密受害者MetaMask钱包的种子短语。
Amadey负责获取初始入侵并投放进一步的恶意软件,而SocGholish则与俄罗斯黑客组织Evil Corp有关,通过被黑网站上的虚假浏览器更新提示感染用户。这三者共同构成了攻击的前端,最终导致钱包被清空、账户被接管以及勒索软件的传播。
警方的行动成果
警方共摧毁了326台服务器和142个域名,从超过385,000个被攻陷的系统中恢复了近2700万条被盗凭证,并清理了近15,000个被感染的网站,其中许多是小型企业。
作为此次行动的合作伙伴,微软在5月的前两周内将Amadey和StealC与全球超过140,000台被感染计算机联系在一起。信息窃取者已成为盗取加密货币的主要途径,悄悄地从受害者的设备中提取钱包文件、私钥和种子短语。
恶意软件的持续威胁
它们通过各种途径针对加密用户,包括虚假的AI工具、Steam壁纸和盗版游戏模组。暴露的规模非常庞大。去年底的“终局行动”早期行动发现了超过100,000个被盗的加密钱包登录数据,这些数据尚未被清空。
微软的数字犯罪单位单独提起了一项美国敲诈勒索诉讼,首次将两种恶意软件家族视为单一的犯罪阴谋。
调查人员利用包括Copilot在内的AI工具分析恶意软件,发现尽管Amadey和StealC由不同的犯罪分子构建,但它们运行在共享的基础设施上,这使得微软能够根据RICO法案对两项行动的支持者提起诉讼,并破坏了200多个指挥和控制服务器。
此后,微软已识别出超过18,000台受害计算机,并开始切断攻击者的控制。这样的打击行动很少能彻底消灭恶意软件,运营者往往会重新集结,StealC最近甚至在本月推出了新的版本。
对受害者的支持
目前,Europol及其合作伙伴正在通过“我是否被泄露”这样的服务向受害者发送警报,以便用户检查他们的凭证和钱包密钥是否已经落入犯罪分子之手。
