5 种窃取加密货币的新型恶意软件技术 (2024)

网络犯罪分子从不停止创新，他们尤其对加密货币感兴趣。也许你正在兴高采烈地探索互联网，却不知道你将要踩到多少地雷。在保护你的加密资金时，小心谨慎并及时了解最新的安全趋势永远不会有坏处。

为了让您了解这种邪恶行为对恶意方来说有多大的影响，根据链式分析，2023 年，非法加密地址共收到约 242 亿美元。不要成为下一个数字的一部分！让我们看看今年你应该注意的一些新恶意软件技术以及如何保护自己免受它们的侵害。

MacOS 中的后门

从非官方网站下载应用程序并不是一个好主意，这是一个很好的例子。网络安全公司卡巴斯基实验室发现今年早些时候，出现了一种针对 macOS 用户的加密货币钱包的新威胁，它隐藏在 torrent 和盗版网站上提供的盗版软件中。

当用户安装这些看似免费的程序时，他们不知不觉地允许恶意软件进入他们的计算机。第一步涉及一个名为“Activator”的应用程序，它会提示用户提供管理访问权限。这为恶意软件提供了必要的权限来安装自身并禁用盗版软件的正常功能，欺骗用户认为他们需要这个激活器才能使软件运行。

安装后，恶意软件会联系远程服务器下载更多恶意指令。这些指令帮助恶意软件创建后门，让黑客可以持续访问受感染的计算机。该恶意软件的主要目标是窃取加密货币。它会用受感染的版本替换 Exodus 和 Bitcoin-Qt 等合法钱包应用程序。

然后，这些被修改的应用程序会捕获敏感信息，例如恢复短语和钱包密码，并将其发送给黑客——从而有效地耗尽您的加密资金。在您获得“免费”应用程序后，出现了可疑的“激活器”安装程序？不要为其提供访问权限，并立即卸载它！

Vortax、Web3 游戏和“Markopolo”

Vortax 活动是针对加密货币用户的欺骗性恶意软件操作，由 Recorded Future 的研究人员发现。背后的网络犯罪分子这个计划使用看似合法的虚假应用程序感染 Windows 和 macOS 设备，并植入窃取信息的恶意软件。该应用程序伪装成一款名为 Vortax 的虚拟会议软件，其网站被搜索引擎收录，博客由人工智能生成文章，并在 X、Telegram 和 Discord 等平台上拥有社交媒体账户，看上去十分可信。威胁行为者与潜在受害者进行加密货币主题讨论，以参加虚拟会议为幌子，引导他们下载 Vortax 应用程序。

用户按照提供的说明操作后，他们会被重定向到安装 Vortax 软件的下载链接。然而，安装文件提供的不是可运行的应用程序，而是 Rhadamanthys、Stealc 或 Atomic Stealer (AMOS) 等恶意软件。由于故意犯错，Vortax 应用程序似乎无法运行，而在后台，恶意软件开始窃取敏感信息 — 包括密码和种子短语。进一步调查显示，Vortax 活动与多个托管类似恶意应用程序和假 web3 游戏的域名相关联，这表明威胁行为者 Markopolo 的行动是有组织的。

Markopolo 的策略包括利用社交媒体和消息平台传播恶意软件， 也伪装比如 VDeck、Mindspeak、ArgonGame、DustFighter 和 Astration 等品牌和游戏。这种策略不仅扩大了他们的范围，还增加了用户被骗下载恶意软件的可能性。该活动的复杂性和适应性意味着未来的攻击可能会变得更加普遍，这凸显了用户在下载第三方软件时需要谨慎，尤其是当他们看起来对此非常执着时。

Pytoileur，Python 开发者的陷阱

Sonatype 研究人员发现了一种新的威胁，该威胁通过名为“pytoileur”的恶意 Python 包针对加密货币用户。pytoileur 伪装成合法的 API 管理工具，诱骗用户从 Python 包索引 (PyPI) 下载它。安装后，该包会秘密检索并安装有害软件，旨在通过访问受害者设备上存储的敏感信息来窃取加密货币。

恶意软件包巧妙地隐藏在看似无害的代码中。它下载了一个危险的可执行文件，一旦执行，就会执行各种恶意活动。这些活动包括修改系统设置、在设备上保持存在以避免被发现，最重要的是，试图从与 Binance、 Coinbase 和 Crypto.com等热门服务相关的钱包和账户中窃取加密货币。通过访问浏览器数据和其他财务详细信息，该恶意软件可以在受害者不知情的情况下窃取数字资产。

pytoileur 的传播涉及社会工程策略，包括利用 Stack Overflow 等社区平台诱使开发人员以解决技术问题为幌子下载该软件包。此事件是更广泛的“Cool package”活动的一部分，表明网络犯罪分子正在通过复杂且不断发展的方法瞄准加密货币用户。另一家安全公司 Mend.io 表示，已确定PyPI 库中有超过 100 个恶意软件。

开发人员可以通过从受信任的来源下载、验证软件包完整性以及在使用前检查代码来避免恶意软件包。及时了解安全公告并使用自动化安全工具也有帮助。

P2PInfect，一种群集威胁

Cado Security 发现的 P2Pinfect 是一种利用点对点僵尸网络进行控制的复杂恶意软件。换句话说，该恶意软件会检测计算机是否属于网络，并感染所有连接的设备，使它们直接进行通信和控制，而无需依赖中央服务器。最初看似处于休眠状态，但其更新形式现在包括勒索软件和加密挖掘功能。

感染后，它主要通过流行数据库系统 Redis 中的漏洞进行传播，从而使恶意软件能够执行任意命令并在连接的系统之间传播。僵尸网络功能可确保快速分发更新，从而维护受感染设备的广泛网络（例如，在整个公司中）。

受害者通常通过不安全的 Redis 配置或有限的 SSH（安全 Shell）尝试使用常见凭据管理远程系统来遭遇 P2Pinfect。一旦在受害者的系统上激活，P2Pinfect 就会安装一个针对 Monero 加密货币的加密挖矿程序。该挖矿程序会在短暂延迟后激活，并使用系统资源生成加密货币，秘密将收益汇入攻击者的钱包并降低设备的性能。

勒索软件组件会加密（阻止）文件并要求支付加密货币才能恢复文件，但由于受感染的 Redis 服务器的典型权限，其有效性有限。攻击者的 Monero 钱包已积累了大约 71 XMR，相当于约 12,400 美元。尽管由于 Redis 存储的数据通常价值较低，勒索软件的影响可能有限，但这说明该活动取得了经济上的成功。要避免这种恶意软件，请记住保护 Redis 配置并定期监控异常活动。

假冒 AggrTrade 和其他恶意扩展

安全公司 SlowMist 描述的假冒 AggrTrade Chrome 扩展程序是一种恶意工具，可诱骗用户损失大量加密货币。该扩展程序伪装成合法的交易工具 (AggrTrade)，但其设计目的仅为窃取资金。用户在不知情的情况下安装了它，然后通过劫持敏感信息（密码和凭证）利用他们对加密货币交易所和交易平台的访问权限。

扩展该恶意软件通过捕获 cookie 和其他会话数据来运行，从而可以模仿用户的登录并进行未经授权的交易。这导致总共约 100 万美元被盗。该恶意软件通过社交媒体和营销推广等欺骗性手段进行传播，诱使受害者下载并安装，这些下载通常来自非官方或可疑来源。

这个特定的威胁已经被删除，但这只是众多尝试中的一个微不足道的例子。目前，其他几个恶意 Chrome 扩展程序冒充真正的交易服务，旨在窃取加密货币。为了保护自己，请仅安装来自可信来源的扩展程序，定期检查权限，并监控您的帐户是否有异常活动。

另外，请记住，所有浏览器扩展程序都能够跟踪您的整个浏览历史记录，查看您在每个网站上的操作，并窃取 cookie 和其他私人数据。使用硬件或纸钱包存放大量资金并保持安全软件更新也可以增强您对此类威胁的防护。

保护措施

为了防范此类加密窃取恶意软件，您可以采取一些基本措施：

• 从可信来源安装：仅使用来自信誉良好的来源和官方网站的扩展和软件。安装前请验证评论和权限。
  
• 尽可能少安装软件：在台式电脑上安装其他应用或浏览器扩展程序之前，请三思是否真的需要它。也许你可以用现有的软件实现你的目标？（不过，在每个应用都经过沙盒处理的移动平台上更安全）。
  
• 定期安全检查：经常检查并删除未使用的扩展或软件。定期检查您的加密账户（在线和离线）和系统中是否存在异常活动。
  
• 使用强身份验证：在您的帐户上启用双因素身份验证 (2FA)，以增加额外的安全保障。在Obyte 钱包，您可以通过从主菜单创建多设备帐户或在设置中设置消费密码来实现此目的。

• 使用反恶意软件工具：使用最新的防病毒和反恶意软件工具来检测和阻止在线和离线威胁。
  
• 保护您的加密货币：将重要的加密资产存储在硬件或纸钱包中，以减少受到在线威胁的风险。通过 Obyte 钱包，您可以通过生成以下代码轻松创建自己的纸钱包：文本币（十二个随机单词），写下来，然后删除或阻止软件本身，直到您需要花费资金。

在Obyte内部及其他地方，确保您使用安全且经过验证的钱包，并遵循这些最佳做法来保护您的资产！

特色矢量图像来自自由图片