最近,推特(现称 X)上掀起了一波账号接管攻击浪潮,多个知名社交媒体账号遭到入侵,并被用于传播旨在窃取加密货币的恶意内容。这些攻击使用了一类被称为加密货币引流器的恶意软件,且这类恶意软件通常通过 “引流器即服务”(DaaS)平台提供。近期一些备受瞩目的受害对象包括美国证券交易委员会(SEC)和曼迪昂特(Mandiant)公司。
尽管至少从 2021 年起就已存在,但迄今为止,加密货币引流器和 “引流器即服务” 在安全研究人员中鲜少受到关注。在这篇文章中,我们将聚焦于加密货币引流器和 “引流器即服务”,以提高人们对这类威胁及其对各机构影响的认识。
DaaS 和加密货币引流器介绍
加密货币引流器是一种恶意工具或脚本,专门设计用于将加密货币从受害者的钱包转移或重定向到攻击者控制的钱包。针对 MetaMask 钱包的引流器最早大约出现在 2021 年,当时这类引流器在地下论坛和交易市场上被公然兜售。
2021 年关于 MetaMask 引流器服务(漏洞利用市场)的讨论
然而,引流器以及类似引流器的攻击可能以多种形式存在。恶意智能合约可能包含隐藏功能,用以触发未经授权的转账操作。其他形式的引流器或许会利用基于非同质化代币(NFT)或代币的触发机制,生成虚假资源,进而促成加密货币的隐蔽且未经授权的转移。
加密货币引流器通常是通过 “引流器即服务” 模式提供的,“引流器即服务”(DaaS)的供应商为网络犯罪分子提供软件和支持,以换取所盗取资金的一定比例分成。现代 “引流器即服务” 通常提供的服务包括:
现成可用的加密货币引流脚本;
可定制的智能合约;
网络钓鱼工具包和社会工程学服务;
高级的操作安全(OPSEC)服务,或安全与匿名服务;
集成协助以及混合 / 混淆处理服务;
持续的更新、维护和技术支持。
举例来说,现成可用或即开即用的加密货币引流脚本,是用来推动从目标钱包中自动引流加密货币的。这些脚本的结构设计得便于理解和部署,几乎不需要或根本不需要事先具备相关知识。
窃取器 / 引流器的使用说明及设置指南
被盗取的加密货币由附属人员(“引流器即服务”(DaaS)的使用者)和 DaaS 运营商分成。通常情况下,运营商会抽取 5% 到 25% 不等的分成,具体比例取决于所提供的服务。
账户接管攻击的威胁
对于威胁行为者而言,当他们成功接管知名社交媒体账户,并利用这些账户从看似可信的来源向大量受众推送恶意内容时,加密货币引流可能会带来巨额利润,就如同最近曼迪昂特公司(Mandiant)和美国证券交易委员会(U.S. Securities and Exchange Commission)所遭遇的情况那样。
这类攻击通常始于暴力破解密码攻击。这种攻击方式是系统地尝试所有可能的密码,直至找到正确的密码。那些没有启用双因素认证(2FA)或多因素认证(MFA)的账户特别容易遭受此类攻击。
攻击剖析 | CLINKSINK 引流器
在曼迪昂特(Mandiant)公司的事件中,攻击者使用了一种名为 CLINKSINK 的恶意软件,这是一种经过混淆处理的 JavaScript 引流器,它潜伏着等待那些因加密货币主题诱饵而上当点击钓鱼链接的受害者。这些诱饵常常伪装成合法的加密货币相关资源,包括 BONK、DappRadar 和 Phantom 等。
Source:Mandiant
加密货币引流器数量在增加
自 2023 年以来,加密货币引流器愈发猖獗,如今许多引流器在地下市场和 Telegram 频道上公开打广告。曼迪昂特公司确定 Chick Drainer 和 Rainbow Drainer 是两款使用 CLINKSINK 恶意软件的 DaaS 产品。不过,也有人怀疑 CLINKSINK 的源代码可能已经泄露,并且被其他多个威胁行为者所使用。
另外两款正在被广泛公开兜售的 DaaS 产品是 Angel Drainer 和 Rugging 的多链引流器(Rugging’s Multi-chain Drainer)。
Angel Drainer 是一款大约在 2023 年 8 月出现的 DaaS 产品,它所提供的工具和服务被诸如 GhostSec 等已知的威胁行为者在 Telegram 上同时进行宣传。除了抽取 20% 的分成外,其运营者还要求附属人员(使用者)先存入 5000 美元至 10000 美元不等的押金。
Release of Angel Drainer v8.2
Rugging 的多链引流器是另一款声称支持 20 种不同加密货币平台的产品。其运营者试图通过收取较低的费用来吸引附属人员,费用大约为附属人员收益的 5% 到 10%。
防范引流器攻击
尽管加密货币引流器主要的目标是从个人手中窃取加密货币资产,但企业和机构也应该保持警惕,因为它们的社交媒体账户可能会成为攻击链条的一部分。组织内处理加密货币资产的员工或业务部门同样也面临风险。
为了抵御来自加密货币引流器的攻击威胁,确保为所有社交媒体账户启用双因素认证(2FA)或多因素认证(MFA)至关重要。建议加密货币用户保持同样的谨慎态度,对涉及非同质化代币(NFT)、“空投” 以及其他加密货币广告的社会工程学手段保持警惕,就如同他们对待电子邮件和其他通信渠道那样。用户还应该考虑采用基于硬件的钱包,以增加安全性。
结论
与之前的 “勒索软件即服务”(RaaS)一样,“引流器即服务”(DaaS)具有低技术门槛、低风险、高回报的特点,为那些有恶意企图的人提供了一条轻松进入恶意软件生态系统的途径。而且,就像之前的 RaaS 产品一样,我们并不惊讶地看到 DaaS 运营者之间的竞争会导致价格战,这会诱使更多人参与恶意活动。