廣告安全機構 Confiant 發現了一系列涉及分佈式錢包應用程序的惡意活動,允許黑客竊取助記詞 (seed phrase) 並通過後門以冒名頂替錢包獲取用戶資金。 這些應用程序是通過克隆合法網站分發的,讓用戶感覺自己正下載官方應用程式。
惡意集群以 Metamask 等支持 Web3 的錢包為目標
在設計針對加密貨幣用戶的攻擊時,黑客變得越來越有創意。 Confiant 是一家致力於檢查廣告質量及其可能對互聯網用戶構成的安全威脅的公司,該公司警告稱,一種新型攻擊會影響 Metamask 和 Coinbase Wallet 等流行 Web3 錢包的用戶。
該集群被識別為「Seaflower」,被 Confiant 認定為同類攻擊中最複雜的攻擊之一。 該報告指出,普通用戶無法檢測到這些應用程序,因為它們與原始應用程序幾乎相同,但具有不同的代碼庫,允許黑客竊取錢包的助記詞,從而獲得當中財產。
分佈和建議
報告發現,這些應用程序大多分佈在常規應用程序商店之外,通過用戶在百度等搜索引擎中找到的鏈結。 調查人員指出,由於編寫代碼註釋的語言以及基礎設施位置和所使用的服務等其他因素,該集群必定是中國起源的。
由於對 SEO 優化的智能處理,這些應用程序的鏈接會到達搜索站點中的熱門位置,從而使它們排名靠前,並欺騙用戶相信他們正在訪問真實站點。 這些應用程序的複雜性歸結為隱藏代碼的方式,混淆了該系統的大部分工作方式
後門應用程序在構建它的同時將助記詞發送到遠程位置,這是 Metamask 假冒應用程式的主要攻擊媒介。 對於其他錢包,Seaflower 也使用了非常相似的攻擊形式。
在保護設備中的錢包安全方面,專家們進一步提出了一系列建議。 這些後門應用程序僅在應用程序商店之外分發,因此 Confiant 建議用戶始終嘗試從 Android 和 iOS 上的官方商店安裝這些應用程序。