2022-06-15 17:25:22
广告安全机构Confiant最近发现了一系列涉及到分布式钱包应用程序的恶意活动,有很多黑客在窃取私人种子后,通过后门冒名顶替钱包来非法获取用户的资金。经调查,这些应用程序主要是通过克隆合法网站分发的,能够让人错以为用户正在下载原始应用程序。
恶意集群以Metamask等支持Web3的钱包为目标
在设计攻击以利用加密货币用户时,黑客变得越来越有创意。Confiant是一家致力于检查广告质量及其可能对互联网用户构成的安全威胁的公司,该公司警告称,一种新型攻击会影响Metamask和CoinbaseWallet等流行Web3钱包的用户。
该集群被识别为“Seaflower”,被Confiant认定为同类攻击中最复杂的攻击之一。该报告指出,普通用户无法检测到这些应用程序,因为它们与原始应用程序几乎相同,但具有不同的代码库,允许黑客窃取钱包的种子短语,从而获得资金。
分布和推荐
报告发现,这些应用程序大多分布在常规应用程序商店之外,通过用户在百度等搜索引擎中找到的链接。调查人员表示,由于编写代码注释的语言以及基础设施位置和所使用的服务等其他因素,该集群必须是中国起源的。
由于对SEO优化的智能处理,这些应用程序的链接会到达搜索站点中的热门位置,从而使它们排名靠前,并欺骗用户相信他们正在访问真实站点。这些应用程序的复杂性归结为隐藏代码的方式,混淆了该系统的大部分工作方式。
后门应用程序在构建它的同时将种子短语发送到远程位置,这是Metamask冒名顶替者的主要攻击媒介。对于其他钱包,Seaflower也使用了非常相似的攻击向量。
在保护设备中的钱包安全方面,专家们已经提出了一系列建议。这些后门的应用程序目前仅在应用程序商店之外分发,所以用户最好能够通过Android和iOS上的官方商店安装这些应用程序,能够进一步避免黑客盗取的风险。
3201
