研究人員近日發現一個非常聰明的新加密貨幣詐騙活動,慢慢巧妙地鼓勵受害者安裝惡意加密管理程式,不過這些所謂受害者並非普通人,因為幕後主腦就像數碼羅賓漢,專門針對其他盜竊者。
最初的誘餌
受害者最初會收到一條關於加密貨幣的不太顯眼Telegram轉發訊息,為了避開偵測,訊息是一條5秒長經過剪輯的影片,當中包括螢幕截圖顯示兩個大減價促鎖的加密貨幣項目,首先是要讓收件者有一種安全的錯覺,真正的誘餌其實在之後的連結。不過點擊第二個連結並沒有惡意內容出現,如果輸入希望前往的網頁地址,瀏覽器會顯示一個根目錄列表,當中顯示了一些誘人的檔案名稱,看起來是配服器錯誤設定或網頁意外被刪除,洩露了網域持有者沒預期的資料,點擊列表中的檔案可透過瀏覽器瀏覽,而這些文件都是容易處理的格式,例如:TXT、PDF、PNG或JPG。
整體觀感讓訪客覺得自己進入了某個愚蠢富翁的加密貨幣項目資料夾,文字檔案包含了錢包詳細資料,包括seed phrase以及螢幕截圖證明已成功送出大量加密貨幣,錢包的大量結餘以及持有者的奢華生活。其中一張截圖更有YouTube在背景,解釋如何以Bitcoin購買遊艇和跑車,在相同資料夾內的PDF檔就是遊艇的目錄,今誘餌看起來更加「美味」。
真實的錢包和現金
騙徒職明之處在於所有錢包資料都真實存在,令人可以存取錢包和觀看交易紀錄或其他錢包的資產,根據DeBank資料接近15萬美元,不過無法提取任何東西,因為全部已被抵押,但這就成功降低訪客的疑心,看起來是一件冇人不小心洩露了的真實資料,並非垃圾郵件或網絡釣魚,而且沒有外部連結或惡意文件,表面上並沒有可疑之處。
根據研究員兩個月的觀察,錢包內容廿共沒有改變,騙徒似乎在等待「大魚」上釣,並透過網頁伺服器分析來追蹤潛在受害者的行為,在經過漫長的「熱身」後,才會進入下一階段的攻擊。
新希望
經過兩個月後終於有更新,加入新的Telegram螢幕截圖顯示成功支付Monero,如果仔細看的話可以發現「Electrum-XMR」錢包應用程式有交易記錄,以及接近6000 Monero tokens (XMR),現時價值大約100萬美元,而螢幕截圖旁邊彈出了包含錢包seed phrase的新文字檔,如果有不誠實的詐客前去下載Electrum錢包,並以截圖資料登入試圖盜竊餘下的金錢,可惜Electrum只支援Bitcoin,並不支援Monero,而且只接受private key (不是seed phrase)去取回帳號,當嘗試利用seed phrase復原金鑰時只會得到「不正確」的回應。
如果貪婪令人鍥而不捨,嘗試到Google搜尋「Electrum XMR」或「Electrum Monero」的話,得到的置頂結果都是支援Monero的Electrum分支網站,網站設計看似是原本的Electrum網站,並以典型的開源風格,它提供各種描述、連結到GitHub (原本Electrum儲存庫,但並不是Electrum-XMR),還有註釋指這是支援Monero貨幣的分支,提供了macOS、Windows和Linux的安裝檔案連結。
其實這是讓獵人變成獵物的一步,下載和安裝Electrum-XMR會被惡意程式所感染 (Backdoor.OLE2.RA-based.a),讓攻擊者能遙距存取,不過下一步通常是掃瞄裝置內的內容和盜竊加密貨幣錢包資料,以及其他有價值的資料。
第二代更新
當研究人員結束以上活動,相隔一段日子之後,又再收到其他誘餌,而且這次來得直接得多,一張螢幕截圖顯示有鉅額結餘的假錢包,一個含有詳細個人資料的文字檔,以及一條惡意網站連結,似乎這種方式有一定成效,所以研究人員再收到類似的攻擊。
辨別攻擊
以上個案的受害者並不值得同情,因為他們的貪婪意圖盜竊他人金錢而最終被騙,然而騙徒的技倆不斷更新,下次可能提供合法的方法吸引人提取金錢,所以保持警惕並對所有資料都持保留態度,其實每個階段都有其可疑之處,網站促鎖透過截圖短片形式完全是為了繞過anti-spam機制,網站含有未加密的文字檔案及加密錢包資料,好得太過難以想像,而所謂的分叉網站亦只登記了2個月,更重要的是,使用鮮為人知的錢包應用程式,更是令事件充滿騙局氣息。另外還可以參考以下步驟:
資料來源:Kaspersky Blog