引流器即服务(Drainer-as-a-Service)的兴起 | 了解引流器即服务(DaaS)

本文涉及的产品
智能开放搜索 OpenSearch行业算法版,1GB 20LCU 1个月
实时计算 Flink 版,1000CU*H 3个月
实时数仓Hologres,5000CU*H 100GB 3个月
简介: 近期,X(原推特)平台遭遇一波账号接管攻击,多个知名账户被入侵以传播窃取加密货币的恶意内容。这些攻击主要依赖“加密货币引流器”及“引流器即服务”(DaaS)平台实施。DaaS提供现成脚本、智能合约等工具,帮助攻击者从受害者钱包中转移资产。2021年起,此类威胁逐渐兴起,但未引起足够关注。文章深入分析了DaaS运作模式及其影响,并以CLINKSINK恶意软件为例剖析具体攻击手法。为防范此类威胁,建议启用多因素认证(MFA),警惕社会工程学手段,使用硬件钱包提升安全性。DaaS因低门槛、高回报特点,可能吸引更多恶意参与者,需持续关注其演变趋势。

最近,推特(现称 X)上掀起了一波账号接管攻击浪潮,多个知名社交媒体账号遭到入侵,并被用于传播旨在窃取加密货币的恶意内容。这些攻击使用了一类被称为加密货币引流器的恶意软件,且这类恶意软件通常通过 “引流器即服务”(DaaS)平台提供。近期一些备受瞩目的受害对象包括美国证券交易委员会(SEC)和曼迪昂特(Mandiant)公司。

尽管至少从 2021 年起就已存在,但迄今为止,加密货币引流器和 “引流器即服务” 在安全研究人员中鲜少受到关注。在这篇文章中,我们将聚焦于加密货币引流器和 “引流器即服务”,以提高人们对这类威胁及其对各机构影响的认识。
1.jpg
DaaS 和加密货币引流器介绍
加密货币引流器是一种恶意工具或脚本,专门设计用于将加密货币从受害者的钱包转移或重定向到攻击者控制的钱包。针对 MetaMask 钱包的引流器最早大约出现在 2021 年,当时这类引流器在地下论坛和交易市场上被公然兜售。
2.png
2021 年关于 MetaMask 引流器服务(漏洞利用市场)的讨论
然而,引流器以及类似引流器的攻击可能以多种形式存在。恶意智能合约可能包含隐藏功能,用以触发未经授权的转账操作。其他形式的引流器或许会利用基于非同质化代币(NFT)或代币的触发机制,生成虚假资源,进而促成加密货币的隐蔽且未经授权的转移。

加密货币引流器通常是通过 “引流器即服务” 模式提供的,“引流器即服务”(DaaS)的供应商为网络犯罪分子提供软件和支持,以换取所盗取资金的一定比例分成。现代 “引流器即服务” 通常提供的服务包括:

  • 现成可用的加密货币引流脚本;

  • 可定制的智能合约;

  • 网络钓鱼工具包和社会工程学服务;

  • 高级的操作安全(OPSEC)服务,或安全与匿名服务;

  • 集成协助以及混合 / 混淆处理服务;

  • 持续的更新、维护和技术支持。

举例来说,现成可用或即开即用的加密货币引流脚本,是用来推动从目标钱包中自动引流加密货币的。这些脚本的结构设计得便于理解和部署,几乎不需要或根本不需要事先具备相关知识。
3.png
窃取器 / 引流器的使用说明及设置指南

被盗取的加密货币由附属人员(“引流器即服务”(DaaS)的使用者)和 DaaS 运营商分成。通常情况下,运营商会抽取 5% 到 25% 不等的分成,具体比例取决于所提供的服务。
账户接管攻击的威胁
对于威胁行为者而言,当他们成功接管知名社交媒体账户,并利用这些账户从看似可信的来源向大量受众推送恶意内容时,加密货币引流可能会带来巨额利润,就如同最近曼迪昂特公司(Mandiant)和美国证券交易委员会(U.S. Securities and Exchange Commission)所遭遇的情况那样。
4.jpg
这类攻击通常始于暴力破解密码攻击。这种攻击方式是系统地尝试所有可能的密码,直至找到正确的密码。那些没有启用双因素认证(2FA)或多因素认证(MFA)的账户特别容易遭受此类攻击。

攻击剖析 | CLINKSINK 引流器

在曼迪昂特(Mandiant)公司的事件中,攻击者使用了一种名为 CLINKSINK 的恶意软件,这是一种经过混淆处理的 JavaScript 引流器,它潜伏着等待那些因加密货币主题诱饵而上当点击钓鱼链接的受害者。这些诱饵常常伪装成合法的加密货币相关资源,包括 BONK、DappRadar 和 Phantom 等。

Source:Mandiant

加密货币引流器数量在增加

自 2023 年以来,加密货币引流器愈发猖獗,如今许多引流器在地下市场和 Telegram 频道上公开打广告。曼迪昂特公司确定 Chick Drainer 和 Rainbow Drainer 是两款使用 CLINKSINK 恶意软件的 DaaS 产品。不过,也有人怀疑 CLINKSINK 的源代码可能已经泄露,并且被其他多个威胁行为者所使用。

另外两款正在被广泛公开兜售的 DaaS 产品是 Angel Drainer 和 Rugging 的多链引流器(Rugging’s Multi-chain Drainer)。

Angel Drainer 是一款大约在 2023 年 8 月出现的 DaaS 产品,它所提供的工具和服务被诸如 GhostSec 等已知的威胁行为者在 Telegram 上同时进行宣传。除了抽取 20% 的分成外,其运营者还要求附属人员(使用者)先存入 5000 美元至 10000 美元不等的押金。
5.png

Release of Angel Drainer v8.2

Rugging 的多链引流器是另一款声称支持 20 种不同加密货币平台的产品。其运营者试图通过收取较低的费用来吸引附属人员,费用大约为附属人员收益的 5% 到 10%。
防范引流器攻击
尽管加密货币引流器主要的目标是从个人手中窃取加密货币资产,但企业和机构也应该保持警惕,因为它们的社交媒体账户可能会成为攻击链条的一部分。组织内处理加密货币资产的员工或业务部门同样也面临风险。
为了抵御来自加密货币引流器的攻击威胁,确保为所有社交媒体账户启用双因素认证(2FA)或多因素认证(MFA)至关重要。建议加密货币用户保持同样的谨慎态度,对涉及非同质化代币(NFT)、“空投” 以及其他加密货币广告的社会工程学手段保持警惕,就如同他们对待电子邮件和其他通信渠道那样。用户还应该考虑采用基于硬件的钱包,以增加安全性。

结论

与之前的 “勒索软件即服务”(RaaS)一样,“引流器即服务”(DaaS)具有低技术门槛、低风险、高回报的特点,为那些有恶意企图的人提供了一条轻松进入恶意软件生态系统的途径。而且,就像之前的 RaaS 产品一样,我们并不惊讶地看到 DaaS 运营者之间的竞争会导致价格战,这会诱使更多人参与恶意活动。

目录
相关文章
|
存储 监控 安全
什么是EDR?EDR做的比较好的厂商有哪些?
SentinelOne作为EDR市场的领导者和新兴XDR技术的先驱,我们经常被问到这意味着什么以及它最终如何有助于实现更好的客户成果。本文旨在澄清关于XDR以及与EDR、SIEM和SOAR相比的一些常见问题。
940 18
什么是EDR?EDR做的比较好的厂商有哪些?
|
6月前
|
芯片
从"卡哇伊字体"看Docusign繁体中文显示异常 —甫连团队快速排障案例
3月23日,Docusign反馈台湾客户上传的繁体中文合同出现字体显示异常问题,影响多家重要企业。作为Docusign亚太区专业合作伙伴,我们迅速介入排查,确认为字体兼容性问题:系统无法识别DFKai-SB字体导致替代字体异常。通过测试验证与Docusign合作,最终于4月1日解决。此案例体现FreeLink在技术定位、临时解决方案及平台本地化改进推动中的关键价值,彰显全球SaaS平台与本地需求连接的专业能力。我们专注Docusign集成解决方案,获多项国际认证与殊荣,致力于为企业提供专业化支持。
117 2
如何在C++中实现cpp文件中引用另外一个cpp文件
如何在C++中实现cpp文件中引用另外一个cpp文件
1315 0
|
3月前
|
云安全 存储 安全
关于云安全的解读
云安全旨在保护云端数据、应用及基础设施,涵盖技术、策略与控制措施,防范数据泄露与网络威胁。作为网络安全的重要分支,它遵循“共享责任模型”,强调用户与云服务商共同担责。其核心目标是降低风险、保障合规,并应对如攻击面扩大、权限管理复杂、多云环境挑战等关键问题。通过零信任架构、身份与访问管理(IAM)、云工作负载保护(CWPP)及配置安全态势管理(CSPM)等手段,实现对云环境的全面防护。随着企业加速上云,云安全已成为保障业务连续性与数据安全的关键防线。
429 87
|
3月前
|
XML 安全 数据安全/隐私保护
Okta核心协议SAML
SAML(安全断言标记语言)是一种开放标准,用于在身份提供商和服务提供商之间安全传递用户身份和权限信息,常用于实现单点登录(SSO),提升用户体验与安全性,简化企业用户管理。
361 89
|
3月前
|
JSON API 开发者
淘宝 API 零基础快速上手教程(2025 版)
淘宝API是淘宝开放平台提供的接口,允许开发者获取商品、订单等数据,并实现自动化操作。本文介绍了API基础概念、账号开通流程、权限申请、调用方法及实战示例,适合零基础开发者快速入门并掌握淘宝API的核心使用技巧。
|
安全 算法 API
如何在DocuSign中设置PKCE(Proof Key for Code Exchange)
在使用DocuSign进行电子签名时,安全性至关重要。PKCE提供了一个额外的安全层,特别是在移动设备或基于浏览器的应用中,有效防止授权码泄露或被未授权的第三方使用。
319 0
如何在DocuSign中设置PKCE(Proof Key for Code Exchange)
|
监控 安全 Cloud Native
公司监控电脑效率升级:精细化选择与应用
在竞争激烈的商业环境中,高效的员工表现对企业成功至关重要。为此,选用合适的电脑监控方案变得尤为重要。Libera Networks LAN/WAN Manager 提供云原生监控服务,能快速适应企业变化并集成最新威胁情报,但成本较高。WorkWin 是一款优秀的国产监控软件,提供全方位监控功能与个性化策略配置,加之深入的数据分析及严格的数据安全保障。SentinelOne 则专注于端点安全,能有效防御各种威胁,但配置较复杂。OsMonitor 能准确监测员工活动,提供灵活的监控策略及直观的报表功能。这些工具帮助企业提升工作效率的同时,兼顾了安全与隐私。
330 0
|
Windows 计算机视觉 Linux
QtCreator 跨平台开发添加动态库教程(以OpenCV库举例)- Windows篇
该文档介绍了Qt的跨平台特性,并推荐在Windows和Linux开发中使用QtCreator。在Windows下添加动态库,可以通过Visual Studio配置.lib文件和.dll文件,或在QtCreator中使用"添加库"功能。在QtCreator中,选择库文件、包含路径,并配置Details,然后更新.pro文件,清除、qmake及构建项目。运行时确保.dll与.exe在同一目录下。
465 0
QtCreator 跨平台开发添加动态库教程(以OpenCV库举例)- Windows篇