譯者 | 布加迪

審校 | 重樓

網(wǎng)絡(luò)犯罪分子從未停止過創(chuàng)新的步伐，他們尤其被加密貨幣所吸引。也許你正在暢游互聯(lián)網(wǎng)，卻不知道將要踩到多少雷。說到保護(hù)加密貨幣資金，小心謹(jǐn)慎、及時(shí)了解最新的安全趨勢(shì)永遠(yuǎn)不會(huì)有壞處。

為了讓你了解加密貨幣行業(yè)對(duì)惡意攻擊者來說有多龐大，不妨看看Chainalysis的數(shù)據(jù)：2023年非法加密貨幣地址收到了大約242億美元。別成為下一個(gè)受害者！趕緊看看今年你應(yīng)該知道的一些新的惡意軟件技術(shù)以及如何保護(hù)自己免受侵害。

1.macOS中的后門

從非官方網(wǎng)站下載應(yīng)用程序并不是一個(gè)好主意，下面就是一個(gè)典例。網(wǎng)絡(luò)安全公司卡巴斯基今年早些時(shí)候發(fā)現(xiàn)了一個(gè)新的威脅，針對(duì)macOS用戶的加密貨幣錢包，隱藏在torrent和盜版網(wǎng)站上的盜版軟件中。

當(dāng)用戶安裝這些看似免費(fèi)的程序后，他們?cè)诓恢挥X中允許惡意軟件進(jìn)入其計(jì)算機(jī)。第一步涉及一個(gè)名為“激活器”的應(yīng)用程序，它提示用戶提供管理員訪問權(quán)。這給了惡意軟件必要的權(quán)限來安裝自己，并禁用盜版軟件的正常功能，誘騙用戶認(rèn)為他們需要這個(gè)激活器才能使軟件正常運(yùn)行。

一旦安裝，惡意軟件就聯(lián)系遠(yuǎn)程服務(wù)器下載進(jìn)一步的惡意指令。這些指令幫助惡意軟件創(chuàng)建一個(gè)后門，使黑客能夠持續(xù)訪問受感染的計(jì)算機(jī)。這種惡意軟件的主要目的是竊取加密貨幣。它用受感染的版本取代了合法的錢包應(yīng)用程序，比如Exodus和Bitcoin-Qt。

然后，這些被修改的應(yīng)用程序會(huì)獲取敏感信息，比如恢復(fù)短語和錢包密碼，并將它們發(fā)送給黑客，實(shí)際上掏空你的加密貨幣資金。在獲得“免費(fèi)”應(yīng)用程序后出現(xiàn)可疑的“激活器”安裝程序？別為它提供訪問權(quán)，立即卸載！

2.Vortax、Web3 Games和“Markopolo”

Vortax Campaign是一種針對(duì)加密貨幣用戶的欺騙性惡意軟件活動(dòng)，由Recorded Future的研究人員發(fā)現(xiàn)。該活動(dòng)背后的網(wǎng)絡(luò)犯罪分子使用看似合法的虛假應(yīng)用程序，用竊取信息的惡意軟件感染W(wǎng)indows設(shè)備和macOS設(shè)備。這款應(yīng)用程序偽裝成一款名為Vortax的虛擬會(huì)議軟件，看起來很可信，它有被搜索引擎索引的網(wǎng)站，有人工智能生成文章的博客，還有X、Telegram和Discord等平臺(tái)上的社交媒體賬戶。威脅分子在以加密貨幣為主題的討論中與潛在受害者接觸，指導(dǎo)他們以加入虛擬會(huì)議的名義下載Vortax應(yīng)用程序。

一旦用戶按照提供的說明操作，他們就會(huì)被重定向到安裝Vortax軟件的下載鏈接。然而，安裝文件分發(fā)的不是一個(gè)實(shí)用的應(yīng)用程序，而是惡意軟件，比如Rhadamanthys、Stealc或Atomic Stealer（AMOS）。由于故意錯(cuò)誤，Vortax應(yīng)用程序似乎無法正常工作，而在后臺(tái)，惡意軟件開始竊取敏感信息，包括密碼和種子短語。進(jìn)一步的調(diào)查顯示，Vortax活動(dòng)與多個(gè)托管類似惡意應(yīng)用程序和虛假web3游戲的域名有關(guān)，這表明威脅分子Markopolo開展的活動(dòng)井然有序。

Markopolo的策略包括利用社交媒體和信息平臺(tái)來傳播其惡意軟件，還偽裝成VDeck、Mindspeak、ArgonGame、DustFighter和Astration等品牌和游戲。這種策略不僅擴(kuò)大了他們的影響范圍，還加大了用戶被騙下載惡意軟件的可能性。該活動(dòng)的復(fù)雜性和適應(yīng)性意味著未來的攻擊可能會(huì)變得更加普遍，這表明了用戶在下載第三方軟件時(shí)需要謹(jǐn)慎行事，特別是在覺得可疑的時(shí)候。

3.針對(duì)Python開發(fā)者的陷阱pytoileur

Sonatype研究人員發(fā)現(xiàn)了一種新的威脅，該威脅通過一個(gè)名為“pytoileur”的惡意Python包針對(duì)加密貨幣用戶。pytoileur偽裝成合法的API管理工具，欺騙用戶從Python包索（PyPI）下載它。一旦安裝，該包就會(huì)秘密檢索并安裝有害軟件，旨在通過訪問存儲(chǔ)在受害者設(shè)備上的敏感信息來竊取加密貨幣。

惡意包巧妙地隱藏在看似無害的代碼中。它下載了一個(gè)危險(xiǎn)的可執(zhí)行文件，一旦執(zhí)行，就會(huì)執(zhí)行各種惡意活動(dòng)，這包括修改系統(tǒng)設(shè)置、在設(shè)備上潛伏下來以免被發(fā)現(xiàn)。最重要的是，試圖從與Binance、Coinbase和Crypto.com等流行服務(wù)相關(guān)的錢包和賬戶中竊取加密貨幣。通過訪問瀏覽器數(shù)據(jù)及其他財(cái)務(wù)細(xì)節(jié)，惡意軟件可以在受害者不知情的情況下竊取數(shù)字資產(chǎn)。

pytoileur的傳播涉及社會(huì)工程策略，包括利用Stack Overflow等社區(qū)平臺(tái)，以解決技術(shù)問題為幌子引誘開發(fā)人員下載該包。這起事件是更廣泛的“Cool package”（酷包）活動(dòng)的一部分，表明網(wǎng)絡(luò)犯罪分子一直借助復(fù)雜且不斷發(fā)展的方法瞄準(zhǔn)加密貨幣用戶。另一家安全公司Mend.io已在PyPI庫(kù)中發(fā)現(xiàn)了100多個(gè)惡意包。

開發(fā)人員可以通過從可信來源下載、驗(yàn)證包的完整性以及在使用前檢查代碼來避免惡意包。隨時(shí)更新安全建議和使用自動(dòng)化安全工具也會(huì)有所幫助。

4.集群威脅p2pinfection

Cado Security發(fā)現(xiàn)的p2pinfection是一種復(fù)雜的惡意軟件，利用點(diǎn)對(duì)點(diǎn)僵尸網(wǎng)絡(luò)進(jìn)行控制。換句話說，該惡意軟件檢測(cè)一臺(tái)計(jì)算機(jī)是否屬于網(wǎng)絡(luò)，并感染所有連接的設(shè)備，以便在不依賴中央服務(wù)器的情況下直接相互通信和控制。最初看起來是休眠的，更新后的形式現(xiàn)在包括勒索軟件和加密貨幣挖掘功能。

一旦感染，它主要通過流行的數(shù)據(jù)庫(kù)系統(tǒng)Redis的漏洞傳播開來，允許惡意軟件執(zhí)行任意命令，并在連接的系統(tǒng)之間傳播。僵尸網(wǎng)絡(luò)特性確保了更新快速分發(fā)，例如在整個(gè)公司內(nèi)維護(hù)一個(gè)廣泛的受感染設(shè)備網(wǎng)絡(luò)。

受害者通常通過不安全的Redis配置或通過有限的SSH（Secure Shell）嘗試使用公共憑據(jù)管理遠(yuǎn)程系統(tǒng)而遇到p2pinfection。一旦在受害者系統(tǒng)上激活，p2pinfection就會(huì)安裝一個(gè)針對(duì)門羅幣加密貨幣的加密貨幣挖礦軟件。該挖礦軟件在短暫的延遲后激活，并使用系統(tǒng)的資源生成加密貨幣，暗中將不義之財(cái)匯到攻擊者的錢包中，并減慢設(shè)備的運(yùn)行速度。

勒索軟件組件加密（阻止）文件，并要求支付加密貨幣才能檢索文件，不過由于受感染Redis服務(wù)器的典型權(quán)限，其有效性受到限制。攻擊者的門羅幣錢包已經(jīng)積累了大約71個(gè)XMR，相當(dāng)于大約12400美元。這說明了該活動(dòng)已成功牟利，盡管由于Redis存儲(chǔ)的典型低價(jià)值數(shù)據(jù)，該勒索軟件的潛在影響有限。為了避免這種惡意軟件，請(qǐng)記得保護(hù)Redis配置，并定期監(jiān)測(cè)異?；顒?dòng)。

5.虛假AggrTrade及其他惡意擴(kuò)展

據(jù)安全公司SlowMist描述，虛假的AggrTrade Chrome擴(kuò)展是一種惡意工具，誘騙用戶損失大量加密貨幣。該擴(kuò)展偽裝成一個(gè)合法的交易工具（AggrTrade），但其目的完全是為了竊取資金。用戶在不知情的情況下安裝了它，然后它通過劫持敏感信息（密碼和憑據(jù)）訪問加密貨幣交易所和交易平臺(tái)，大做文章。

該擴(kuò)展通過獲取cookie及其他會(huì)話數(shù)據(jù)來實(shí)現(xiàn)功能，這允許它模擬用戶的登錄并進(jìn)行未經(jīng)授權(quán)的交易。這導(dǎo)致了盜竊總共約100萬美元的資產(chǎn)。它借助社交媒體和營(yíng)銷推廣的欺騙手段來傳播，引誘受害者下載和安裝該擴(kuò)展，常常來自非官方或可疑的來源。

這個(gè)特定的威脅已經(jīng)被端掉了，但這只是眾多惡意嘗試中的一個(gè)微不足道的例子。目前，其他幾個(gè)惡意的Chrome擴(kuò)展在冒充真正的交易服務(wù)，旨在竊取加密貨幣。為了保護(hù)自己，只安裝來自可信來源的擴(kuò)展，定期檢查權(quán)限，并監(jiān)測(cè)賬戶是否有異?；顒?dòng)。

另外請(qǐng)記住，所有瀏覽器擴(kuò)展都能夠跟蹤你的整個(gè)瀏覽歷史，查看你在每個(gè)網(wǎng)站上執(zhí)行的操作，并竊取cookie和其他私密數(shù)據(jù)。為大額資金使用硬件或紙幣錢包，并保持安全軟件更新也可以增強(qiáng)你對(duì)此類威脅的防護(hù)。

保護(hù)措施

為了防范諸如此類的加密貨幣竊取惡意軟件，你可以采取一些基本措施：

• 從可信來源安裝：只使用來自信譽(yù)良好的來源和官方網(wǎng)站的擴(kuò)展和軟件。在安裝前驗(yàn)證審查和權(quán)限。
• 安裝盡可能少的軟件：在你的臺(tái)式機(jī)上安裝另一個(gè)應(yīng)用程序或?yàn)g覽器擴(kuò)展之前，再考慮一下是否真的需要。也許你可以用現(xiàn)有的軟件就能實(shí)現(xiàn)目標(biāo)？（但在手機(jī)平臺(tái)上更安全，因?yàn)槊總€(gè)應(yīng)用程序都被放在沙盒中。）
• 定期安全檢查：經(jīng)常檢查并刪除未使用的擴(kuò)展或軟件。定期檢查你的加密賬戶（在線和離線）和系統(tǒng)中的異?；顒?dòng)。
• 使用強(qiáng)身份驗(yàn)證：對(duì)你的帳戶啟用雙因素身份驗(yàn)證（2FA）以增加額外的安全層。在Obyte錢包中，你可以通過從主菜單創(chuàng)建多設(shè)備帳戶或在設(shè)置中設(shè)置支付密碼來做到這一點(diǎn)。
• 使用反惡意軟件工具：使用最新的防病毒和反惡意軟件工具來檢測(cè)和阻止在線和離線威脅。
• 保護(hù)加密貨幣：將重要的加密貨幣資產(chǎn)存儲(chǔ)在硬件或紙幣錢包中，以減小在線威脅所帶來的風(fēng)險(xiǎn)。借助Obyte錢包，你可以輕松創(chuàng)建自己的紙幣錢包，只需生成一個(gè)文本幣（十二個(gè)隨機(jī)單詞），將其寫下來，然后刪除或阻止軟件本身，直到你需要花費(fèi)資金。

原文標(biāo)題：5 New Malware Techniques to Steal Your Crypto (2024)