Inferno Drainer的复苏
尽管公开宣布关闭,加密盗窃恶意软件Inferno Drainer仍在运作,过去六个月内盗取了超过900万美元的加密钱包资金。根据网络安全公司Check Point Research的报告,超过30,000个加密钱包在这一复苏的恶意软件活动中遭到掏空。
恶意软件的技术细节
开发者声称已于2023年11月停止运营。Check Point Research的一位发言人向Decrypt表示,这些数据是通过逆向工程恶意软件的JavaScript代码、解密其从C&C(指挥与控制)服务器获取的配置以及分析其链上活动获得的。他们补充道,观察到的大部分活动发生在以太坊和币安智能链上。
CPR分析师报告称,2023年部署的Inferno Drainer智能合约至今仍然活跃,而当前版本的恶意软件在前一版本的基础上似乎得到了改进。恶意软件现在能够使用一次性智能合约和链上加密的配置,这使得其检测和防御变得更加困难。此外,命令控制服务器的通信也通过基于代理的系统进行了混淆,使追踪工作变得更加复杂。
针对Discord用户的钓鱼活动
根据CPR分析师的说法,该活动利用社交工程技术,将用户从一个合法的Web3项目网站重定向到一个伪造的网站,模仿流行Discord机器人Collab.Land的用户验证体验。
伪造的Collab.Land网站托管着一个加密货币窃取程序,诱使受害者签署恶意交易,从而使攻击者能够访问他们的资金。CPR分析师表示,通过结合“有针对性的欺骗”和“有效的社交工程策略”,这一恶意软件活动产生了通过区块链交易分析所识别的“稳定资金流”。加密货币用户在与陌生平台互动时应格外谨慎。
伪造机器人与用户警惕性
CPR识别出的伪造Collab.Land机器人与合法机器人之间仅存在“微妙的视觉差异”,而实施这一欺诈的网络犯罪分子可能会“继续完善他们的模仿”。他们指出,由于合法的Collab.Land服务要求用户通过签署以验证他们的钱包,“即使是经验丰富的加密用户也可能在面对伪造机器人时放松警惕”。
因此,在将钱包连接到任何服务之前,确认其真实性变得尤为重要。Inferno Drainer的复苏只是近期出现的多种恶意软件活动之一。黑客们正在采用越来越复杂的技术来传播加密盗窃恶意软件,目标包括被黑客攻击的邮件列表、开源Python库,甚至在伪造的安卓手机上预装木马。
