譯者 | 布加迪

審校 | 重樓

網絡犯罪分子從未停止過創新的步伐，他們尤其被加密貨幣所吸引。也許你正在暢游互聯網，卻不知道將要踩到多少雷。說到保護加密貨幣資金，小心謹慎、及時了解最新的安全趨勢永遠不會有壞處。

為了讓你了解加密貨幣行業對惡意攻擊者來說有多龐大，不妨看看Chainalysis的數據：2023年非法加密貨幣地址收到了大約242億美元。別成為下一個受害者！趕緊看看今年你應該知道的一些新的惡意軟件技術以及如何保護自己免受侵害。

1.macOS中的后門

從非官方網站下載應用程序并不是一個好主意，下面就是一個典例。網絡安全公司卡巴斯基今年早些時候發現了一個新的威脅，針對macOS用戶的加密貨幣錢包，隱藏在torrent和盜版網站上的盜版軟件中。

當用戶安裝這些看似免費的程序后，他們在不知不覺中允許惡意軟件進入其計算機。第一步涉及一個名為“激活器”的應用程序，它提示用戶提供管理員訪問權。這給了惡意軟件必要的權限來安裝自己，并禁用盜版軟件的正常功能，誘騙用戶認為他們需要這個激活器才能使軟件正常運行。

一旦安裝，惡意軟件就聯系遠程服務器下載進一步的惡意指令。這些指令幫助惡意軟件創建一個后門，使黑客能夠持續訪問受感染的計算機。這種惡意軟件的主要目的是竊取加密貨幣。它用受感染的版本取代了合法的錢包應用程序，比如Exodus和Bitcoin-Qt。

然后，這些被修改的應用程序會獲取敏感信息，比如恢復短語和錢包密碼，并將它們發送給黑客，實際上掏空你的加密貨幣資金。在獲得“免費”應用程序后出現可疑的“激活器”安裝程序？別為它提供訪問權，立即卸載！

2.Vortax、Web3 Games和“Markopolo”

Vortax Campaign是一種針對加密貨幣用戶的欺騙性惡意軟件活動，由Recorded Future的研究人員發現。該活動背后的網絡犯罪分子使用看似合法的虛假應用程序，用竊取信息的惡意軟件感染Windows設備和macOS設備。這款應用程序偽裝成一款名為Vortax的虛擬會議軟件，看起來很可信，它有被搜索引擎索引的網站，有人工智能生成文章的博客，還有X、Telegram和Discord等平臺上的社交媒體賬戶。威脅分子在以加密貨幣為主題的討論中與潛在受害者接觸，指導他們以加入虛擬會議的名義下載Vortax應用程序。

一旦用戶按照提供的說明操作，他們就會被重定向到安裝Vortax軟件的下載鏈接。然而，安裝文件分發的不是一個實用的應用程序，而是惡意軟件，比如Rhadamanthys、Stealc或Atomic Stealer（AMOS）。由于故意錯誤，Vortax應用程序似乎無法正常工作，而在后臺，惡意軟件開始竊取敏感信息，包括密碼和種子短語。進一步的調查顯示，Vortax活動與多個托管類似惡意應用程序和虛假web3游戲的域名有關，這表明威脅分子Markopolo開展的活動井然有序。

Markopolo的策略包括利用社交媒體和信息平臺來傳播其惡意軟件，還偽裝成VDeck、Mindspeak、ArgonGame、DustFighter和Astration等品牌和游戲。這種策略不僅擴大了他們的影響范圍，還加大了用戶被騙下載惡意軟件的可能性。該活動的復雜性和適應性意味著未來的攻擊可能會變得更加普遍，這表明了用戶在下載第三方軟件時需要謹慎行事，特別是在覺得可疑的時候。

3.針對Python開發者的陷阱pytoileur

Sonatype研究人員發現了一種新的威脅，該威脅通過一個名為“pytoileur”的惡意Python包針對加密貨幣用戶。pytoileur偽裝成合法的API管理工具，欺騙用戶從Python包索（PyPI）下載它。一旦安裝，該包就會秘密檢索并安裝有害軟件，旨在通過訪問存儲在受害者設備上的敏感信息來竊取加密貨幣。

惡意包巧妙地隱藏在看似無害的代碼中。它下載了一個危險的可執行文件，一旦執行，就會執行各種惡意活動，這包括修改系統設置、在設備上潛伏下來以免被發現。最重要的是，試圖從與Binance、Coinbase和Crypto.com等流行服務相關的錢包和賬戶中竊取加密貨幣。通過訪問瀏覽器數據及其他財務細節，惡意軟件可以在受害者不知情的情況下竊取數字資產。

pytoileur的傳播涉及社會工程策略，包括利用Stack Overflow等社區平臺，以解決技術問題為幌子引誘開發人員下載該包。這起事件是更廣泛的“Cool package”（酷包）活動的一部分，表明網絡犯罪分子一直借助復雜且不斷發展的方法瞄準加密貨幣用戶。另一家安全公司Mend.io已在PyPI庫中發現了100多個惡意包。

開發人員可以通過從可信來源下載、驗證包的完整性以及在使用前檢查代碼來避免惡意包。隨時更新安全建議和使用自動化安全工具也會有所幫助。

4.集群威脅p2pinfection

Cado Security發現的p2pinfection是一種復雜的惡意軟件，利用點對點僵尸網絡進行控制。換句話說，該惡意軟件檢測一臺計算機是否屬于網絡，并感染所有連接的設備，以便在不依賴中央服務器的情況下直接相互通信和控制。最初看起來是休眠的，更新后的形式現在包括勒索軟件和加密貨幣挖掘功能。

一旦感染，它主要通過流行的數據庫系統Redis的漏洞傳播開來，允許惡意軟件執行任意命令，并在連接的系統之間傳播。僵尸網絡特性確保了更新快速分發，例如在整個公司內維護一個廣泛的受感染設備網絡。

受害者通常通過不安全的Redis配置或通過有限的SSH（Secure Shell）嘗試使用公共憑據管理遠程系統而遇到p2pinfection。一旦在受害者系統上激活，p2pinfection就會安裝一個針對門羅幣加密貨幣的加密貨幣挖礦軟件。該挖礦軟件在短暫的延遲后激活，并使用系統的資源生成加密貨幣，暗中將不義之財匯到攻擊者的錢包中，并減慢設備的運行速度。

勒索軟件組件加密（阻止）文件，并要求支付加密貨幣才能檢索文件，不過由于受感染Redis服務器的典型權限，其有效性受到限制。攻擊者的門羅幣錢包已經積累了大約71個XMR，相當于大約12400美元。這說明了該活動已成功牟利，盡管由于Redis存儲的典型低價值數據，該勒索軟件的潛在影響有限。為了避免這種惡意軟件，請記得保護Redis配置，并定期監測異常活動。

5.虛假AggrTrade及其他惡意擴展

據安全公司SlowMist描述，虛假的AggrTrade Chrome擴展是一種惡意工具，誘騙用戶損失大量加密貨幣。該擴展偽裝成一個合法的交易工具（AggrTrade），但其目的完全是為了竊取資金。用戶在不知情的情況下安裝了它，然后它通過劫持敏感信息（密碼和憑據）訪問加密貨幣交易所和交易平臺，大做文章。

該擴展通過獲取cookie及其他會話數據來實現功能，這允許它模擬用戶的登錄并進行未經授權的交易。這導致了盜竊總共約100萬美元的資產。它借助社交媒體和營銷推廣的欺騙手段來傳播，引誘受害者下載和安裝該擴展，常常來自非官方或可疑的來源。

這個特定的威脅已經被端掉了，但這只是眾多惡意嘗試中的一個微不足道的例子。目前，其他幾個惡意的Chrome擴展在冒充真正的交易服務，旨在竊取加密貨幣。為了保護自己，只安裝來自可信來源的擴展，定期檢查權限，并監測賬戶是否有異?；顒?。

另外請記住，所有瀏覽器擴展都能夠跟蹤你的整個瀏覽歷史，查看你在每個網站上執行的操作，并竊取cookie和其他私密數據。為大額資金使用硬件或紙幣錢包，并保持安全軟件更新也可以增強你對此類威脅的防護。

保護措施

為了防范諸如此類的加密貨幣竊取惡意軟件，你可以采取一些基本措施：

• 從可信來源安裝：只使用來自信譽良好的來源和官方網站的擴展和軟件。在安裝前驗證審查和權限。
• 安裝盡可能少的軟件：在你的臺式機上安裝另一個應用程序或瀏覽器擴展之前，再考慮一下是否真的需要。也許你可以用現有的軟件就能實現目標？（但在手機平臺上更安全，因為每個應用程序都被放在沙盒中。）
• 定期安全檢查：經常檢查并刪除未使用的擴展或軟件。定期檢查你的加密賬戶（在線和離線）和系統中的異?；顒印?/li>
• 使用強身份驗證：對你的帳戶啟用雙因素身份驗證（2FA）以增加額外的安全層。在Obyte錢包中，你可以通過從主菜單創建多設備帳戶或在設置中設置支付密碼來做到這一點。
• 使用反惡意軟件工具：使用最新的防病毒和反惡意軟件工具來檢測和阻止在線和離線威脅。
• 保護加密貨幣：將重要的加密貨幣資產存儲在硬件或紙幣錢包中，以減小在線威脅所帶來的風險。借助Obyte錢包，你可以輕松創建自己的紙幣錢包，只需生成一個文本幣（十二個隨機單詞），將其寫下來，然后刪除或阻止軟件本身，直到你需要花費資金。

原文標題：5 New Malware Techniques to Steal Your Crypto (2024)