伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

据我们了解,这种攻击主要是通过 Discord 邀请用户参与新的游戏项目内测,打着 “给予优惠” 等幌子,或是通过群内私聊等方式发一个程序让你下载,一般是发送压缩包,解压出来是一个大概 800 M 左右的 exe 文件,一旦你在电脑上运行,它会扫描你电脑上的文件,然后过滤包含 Wallet 等关键词的文件上传到攻击者服务器,达到盗取加密货币的目的。

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

近日,据慢雾区情报反馈,有不少朋友遭遇钓鱼木马,已经导致数百万美金的损失。

据我们了解,这种攻击主要是通过 Discord 邀请用户参与新的游戏项目内测,打着 “给予优惠” 等幌子,或是通过群内私聊等方式发一个程序让你下载,一般是发送压缩包,解压出来是一个大概 800 M 左右的 exe 文件,一旦你在电脑上运行,它会扫描你电脑上的文件,然后过滤包含 Wallet 等关键词的文件上传到攻击者服务器,达到盗取加密货币的目的。

时间线

最早这类骗局出现在 2022 年 8 月 1 日,以 WinSomeNft 的项目名称出现:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

2022 年 8 月 1 日,以 CthulhuWorldP2E 的项目名称出现:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析
(https://twitter.com/Estetshcrypto/status/1561290861652082689)

2022 年 8 月 30 日,再次出现:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析
(https://twitter.com/NiqisLucky/status/1564315179466166272)

然后再次以 idlemaster3d 项目名称出现:

官网:https://idlemaster3d.com

DC:https://discord.gg/KFyqCdRRst

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析
伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

DC 看起来似乎正常,但怀疑他们是直接 Fork 真 DC 消息过来,以假乱真,里面大量机器人。

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

目前该项目改名为 Yoyo Game Ltd(https://twitter.com/YoyoGame_RPG)继续诈骗。

分析

推特用户 @BoxMrChen 遇到的情况:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析
(https://twitter.com/BoxMrChen/status/1566053823281410050)

他遇到的木马名称是:Master3DRPG_v3.5.3.zip,我们以此木马文件为例分析:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

解压后的文件:Master3DRPG_v3.5.3.exe,大小 749.7 M。正常木马文件不会这么大,所以我们用文本编辑器打开看下:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

填充大量 0000 空文件,导致木马文件巨大,这样可以逃避杀毒软件查杀。

(注:正常在线杀软分析大小 50 M, PC 端杀毒软件能分析的文件大小大概 500 M 左右)

我们直接批量删除所有的 0000 文件,整理出一个 300 KB 左右的真实木马文件:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

虚拟机运行,简单抓个包、监控下进程,看看行为:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

扫描 Wallet 钱包相关信息,并上传到远程 C2 服务器。

发现它以伪装成 Falsh Palyer 更新包程序方式进行控制:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

我们再使用微步在线分析,在 Win7 64 bit 分析网络行为:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析
伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析
伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

该 IP 77.73.134.5 近期关联多个恶意样本,都是针对加密圈用户钓鱼:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析
伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

当时诈骗人员创建 24 个推特账户(包括主账户)进行诈骗推广。

我们再看下木马信息:是 RedLine Stealer 家族木马

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

(https://bazaar.abuse.ch/sample/0cf542852fcec699b8c6be230e5b38daa7380479cace60f2a6d3a3fcd357b718/)

RedLine Stealer 家族木马是什么?

RedLine Stealer 是一种恶意木马软件,2020 年 3 月被发现,在地下论坛上单独出售。该恶意软件从浏览器中收集保存的凭据、自动完成数据和信用卡等信息。在目标机器上运行时,会搜集如用户名、位置数据、硬件配置和已安装的安全软件等详细信息。 新版本的 RedLine 增加了窃取加密货币的能力,能够自动扫描本地计算机已安装的数字货币钱包信息,并上传到远端控制机。该恶意软件具有上传和下载文件、执行命令以及定期发回有关受感染计算机的信息的能力。

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析
(https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer)

从下图可以看到,针对加密货币钱包目录、钱包文件进行扫描,目标很明确。

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

我们看下他们的官方发布功能:非常齐全的功能,而且价格便宜。

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

服务也 SaaS 化:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

选择产品:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

展示每款产品的价格:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

准备付款:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

同意相关协议、付款:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

典型的俄语生态木马:

伪装项目程序扫描你的电脑私钥等文件:Redline Stealer木马盗币分析

我们可以看到还有针对 MetaMask、Wallet 等信息。

窃取程序针对以下钱包和浏览器扩展进行攻击:MetaMask, YoroiWallet, TronLink, NiftyWallet, MathWallet, Coinbase, BinanceChain, BraveWallet, GuardaWallet, EqualWallet, JaxxxLiberty, BitAppWallet, iWallet, Wombat, AtomicWallet, MewCx, GuildWallet, SaturnWallet, RoninWallet。

总结

随着 Web3 兴起,加密货币越来越流行,传统的黑客组织、独狼黑客也瞄准了加密货币行业,他们针对加密货币钱包发起攻击,像 Redline 这样的恶意软件,可以以每月 100 美元的价格轻松提供给犯罪分子,这对加密货币用户产生巨大的威胁。

慢雾在此建议行业从业人员随时关注国内外安全公司安全情报,做好自我排查,提高警惕,运行可执行程序之前,做好必要的安全检查。建议 Windows、Mac 电脑用户务必安装杀毒软件,如卡巴斯基、AVG、360 等,保持安全软件实时防护开启,并随时更新最新病毒库。

在区块链黑暗世界,时刻保持警惕,切勿贪婪捡便宜,个人安全意识永远是安全的第一道防线。

(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)

(0)
Gao的头像Gao
上一篇 2022年9月7日 下午12:47
下一篇 2022年9月7日 下午1:15

相关推荐

  • Multicoin:MEV生态系统中的价值流动

    MEV 历来要在矿工和搜索者之间实现某种平衡。对于任何给定的机会,搜索者所要执行的任务是在技术上优化一组交易,并通过博弈论原理从选定该交易的矿工中选择可获得最优潜在利润百分比的矿工。支付给矿工的利润和搜索者提取的利润都被归类为 MEV。

    2022年11月2日
    792
  • Vitalik:不同类型ZK-EVM的未来

    Vitalik 直言,更希望可以通过改进 ZK-EVM 和改进以太坊本身来使其更适合 ZK-Snark,以太坊没有必要为 L1 使用的单个 ZK-EVM 实现进行标准化,不同的客户端可以使用不同的证明。然而还需要相当长的时间才能实现这一切。

    2022年8月4日
    958
  • MetaMask创业六年后的回顾与反思

    我们的历史可以追溯到 2013 年,当时我们都在为一个名为 VoxelJS 的开源项目做贡献,同时我们在一家名为 MochaLeaf 的初创公司工作,该公司被 Apple 收购之后,我们将重心放在 VoxelJS 上,该项目是一个软件引擎,可让用户创建 Minecraft 类型的浏览器游戏。在接下来的几年里,我们涉足了其他领域,包括点对点网络,并提出了一大堆疯狂的、雄心勃勃的改变世界的想法。

    2022年7月19日
    883

发表回复

登录后才能评论
微信

联系我们
邮箱:whylweb3@163.com
微信:gaoshuang613