警惕加密货币窃取软件即服务（DaaS）

最近多个社交媒体账户遭到入侵，这起攻击事件中攻击者使用了名为加密货币窃取软件（crypto-drainer）的恶意软件家族，它们常常通过加密货币窃取软件即服务（DaaS）平台进行。最近受到攻击的受害者包括证券交易委员会 （SEC）和Mandiant。

尽管加密货币窃取软件和加密货币窃取软件即服务至少自2021年以来就开始存在，但几乎没有受到安全研究人员的太大关注。本文侧重介绍加密货币窃取软件和DaaS，以帮助大家进一步认识这类威胁及其造成的影响。

DaaS和加密货币窃取软件简介

加密货币窃取软件是一种恶意工具或脚本，专门用于将加密货币从受害者的钱包转移或重定向到攻击者控制的钱包。针对MetaMask的加密货币窃取软件首次出现在2021年前后，当时它们在地下论坛和市场上公开兜售。

图1. 2021年有关Metamask加密货币窃取软件服务的帖子

然而，加密货币窃取软件及类似的攻击可能以多种形式存在。

恶意的智能合约可能含有触发未经授权转移加密货币的隐藏功能，其他形式的加密货币窃取软件可能利用NFT或基于代币的触发器来生成虚假资源，进而为隐蔽性、未经授权地转移加密货币提供便利。

加密货币窃取软件常常通过DaaS模式加以提供，DaaS供应商向网络犯罪分子提供软件和支持，并从被盗资金中分成。

现代DaaS通常提供的服务包括如下：

1. 成套的加密货币窃取脚本

2. 可以定制的智能合约

3. 网络钓鱼工具和社会工程服务

4. 高级OPSEC或安全和匿名服务

4. 集成辅助和混合/混淆

5. 持续的更新、维护和技术支持

比如说，成套或随时可用的加密货币窃取脚本用于方便从目标钱包中自动窃取加密货币。它们做得易于理解和部署，几乎不需要具备相关知识。

图2. 在Telegram和Discord上兜售的NFT窃取软件的文档和设置指南

被盗的加密货币在DaaS用户和DaaS运营团伙之间分配。视提供的服务而定，运营团伙通常拿到5%至25%的分成。

账户接管出现攻击威胁

如果威胁组织成功地接管社交媒体账户，并利用这些账户向广大受众推送恶意内容，加密货币窃取攻击会给他们带来巨大利润，就像Mandiant和SEC最近遭遇的那样，这些恶意内容在受众看来似乎是安全的。

图3

据报道，去年12月下旬，加密货币窃取软件使用1万多个网络钓鱼网站从63000人手中窃取了5900万美元。

这些攻击通常以蛮力密码攻击开始。这需要系统性地尝试所有可能的密码，直至找到正确的密码，缺少双因子身份验证（2FA）或多因子身份验证（MFA）的账户特别容易受到这种攻击。

一旦攻击者获得了账户的访问权限，就能够将网络钓鱼链接分发到托管加密货币窃取软件的网站。比如说，他们可能会从提供免费NFT或其他奖励的账户向访问网站并签名交易的人发布内容。不知情的受害者以为收到有价值的东西，早早准备好了连接钱包，殊不知这个网站含有会将其钱包洗劫一空的窃取软件脚本。

攻击者使用X、Telegram和Discord等平台传播网络钓鱼链接，利用中招的可靠账户的信誉度和影响力攻击更多的受害者。

攻击剖析：CLINKSINK窃取软件

在Mandiant事件中，攻击者使用一种名为CLINKSINK的恶意软件，这个经过混淆处理的JavaScript窃取软件用以加密货币主题诱饵的网络钓鱼链接使受害者上钩。这些诱饵常常伪装成合法的加密货币资源，包括BONK、DappRadar和Phantom。

图4. 图片来源Mandiant

受害者上当后连接钱包以便接收“空投”——将代币或货币分发到其他钱包地址，作为一种奖励或推广。然后他们被要求签名“交易”以完成转移。这对加密货币窃贼来说是至关重要的一步，因为它涉及到受害者使用他们的私钥在区块链网络上验证自己。如果用户完成了这一步，随后可以继续获取加密货币，将受害者钱包中的资产转移到他们自己的钱包中。

Mandiant表示，它在最近的CLINKSINK活动中发现了42个独特的钱包地址用来接收被盗资金。许多不同的DaaS服务使用CLINKSINK恶意软件，目前尚不清楚哪个DaaS对与Mandiant有关的特定事件负责。

加密货币窃取软件日益猖獗

自2023年以来，加密货币窃取软件变得越来越猖獗，许多如今在地下市场做广告。Mandiant确定Chick窃取软件和Rainbow窃取软件是使用CLINKSINK的两种DaaS服务。然而，也有人怀疑CLINKSINK源代码可能已泄露，已被多个威胁组织所使用。另外两种公然大肆销售的DaaS服务是Angel窃取软件和Rugging的多链窃取软件。

Angel窃取软件是在2023年8月前后出现的DaaS，它提供的工具和服务由GhostSec等臭名昭著的威胁组织大打广告。除了抽成20%外，运营团伙还要求DaaS用户缴纳5000美元至10000美元的初始押金。

图5. Angel窃取软件v8.2

Rugging的多链窃取软件是另一种声称支持20种不同加密货币平台的服务。运营团伙试图通过低价来吸引DaaS用户，从DaaS用户的收益中提成5%-10%。

防止窃取软件攻击

虽然加密货币窃取软件的主要目的是窃取个人的加密货币资产，但我们应该保持警惕，因为它们的社交媒体账户可能成为攻击链的一部分。

为了对付来自加密货币窃取软件的攻击威胁，确保为所有社交媒体账户启用2FA或MFA非常重要。建议加密货币用户对NFT、“空投”及其他加密货币广告也要保持警惕。用户还应该考虑采用基于硬件的钱包来增强安全性。

结语

就像之前的勒索软件即服务（RaaS）一样，窃取软件即服务具有低技能、低风险、高回报的特点，为不怀好意的人提供了轻松进入犯罪生态系统的途径。就安全方面而言，我们应该像对待其他企业服务那样谨慎对待社交媒体账户的凭据和访问权限。