新型惡意軟件MEWKit會(huì)通過仿造MyEtherWallet來竊取受害者錢包里的資金

2018-05-21 09:46:19 來源：金色財(cái)經(jīng)

根據(jù)安全方案研究公司RiskIQ的說法，有一個(gè)犯罪集團(tuán)策劃了一起網(wǎng)絡(luò)釣魚攻擊，這一攻擊行動(dòng)通過自動(dòng)轉(zhuǎn)賬系統(tǒng)( ATS-- Automated Transfer

根據(jù)安全方案研究公司RiskIQ的說法，有一個(gè)犯罪集團(tuán)策劃了一起網(wǎng)絡(luò)釣魚攻擊，這一攻擊行動(dòng)通過自動(dòng)轉(zhuǎn)賬系統(tǒng)( ATS-- Automated Transfer System )在不被發(fā)現(xiàn)的情況下去清空被攻擊目標(biāo)的以太坊錢包--MyEtherWallet (MEW)的余額。

（犯罪分子已經(jīng)把這次精心策劃的攻擊行動(dòng)運(yùn)作了相當(dāng)長一段時(shí)間。）

(犯罪分子已經(jīng)把這次精心策劃的攻擊行動(dòng)運(yùn)作了相當(dāng)長的一段時(shí)間。)

被稱為MEWKit的釣魚攻擊程序

這次的新型網(wǎng)絡(luò)釣魚犯罪活動(dòng)被稱為MEWKit，這類程序會(huì)通過仿造MyEtherWallet(開源項(xiàng)目)的前端程序來竊取受害者錢包里的資金。

根據(jù)安全研究人員的說法來看，使用MEWKit的犯罪分子也會(huì)通過虛假網(wǎng)頁去獲得相關(guān)用戶的個(gè)人信息詳情，并通過這些詳細(xì)的個(gè)人信息實(shí)現(xiàn)自動(dòng)轉(zhuǎn)賬。據(jù)報(bào)道透露，一旦受害者解密他們的錢包，這些犯罪分子就會(huì)立即竊取受害者錢包賬戶中的資金。事實(shí)上，犯罪分子能夠偷取受害者的錢包密匙意味著如果攻擊行為沒有被別人意識(shí)到的話，這些犯罪分子將可以持續(xù)不斷地偷取資金。

現(xiàn)在已經(jīng)可以肯定的是，這種詐騙程序使用了能夠自動(dòng)發(fā)起資金轉(zhuǎn)賬的腳本，使犯罪分子可以像合法用戶那樣只需按下一個(gè)按鈕就可以完成轉(zhuǎn)賬，該詐騙程序同時(shí)還會(huì)隱藏犯罪活動(dòng)的蹤跡。另一方面，MEWkit后端程序讓黑客可以對(duì)那些被竊取的以太幣保持追蹤，并同時(shí)追蹤私人用戶的密鑰信息(變動(dòng)情況)。

以太坊錢包(MyEtherWallet)似乎是這次惡意釣魚攻擊行動(dòng)中受影響最嚴(yán)重的錢包平臺(tái)。造成這一結(jié)果的原因是因?yàn)橐蕴诲X包十分簡單易用，并且缺乏安全防護(hù)功能--比如能夠檢測活躍的Web會(huì)話中是否插入了可疑腳本的功能。正規(guī)銀行會(huì)提供額外的安全防護(hù)措施，但是以太坊錢包與銀行有些不同，這個(gè)錢包程序?yàn)橛脩籼峁┝酥苯釉L問以太坊網(wǎng)絡(luò)的機(jī)會(huì)， MEWKit正是利用這一弱點(diǎn)來竊取了各種登錄憑證。

最近一次與MEWKit惡意軟件有關(guān)的攻擊發(fā)生在2018年4月24日，當(dāng)時(shí)網(wǎng)絡(luò)犯罪分子篡改了亞馬遜Route 53云域名系統(tǒng)(DNS服務(wù))的訪問路徑。一些網(wǎng)絡(luò)分子發(fā)動(dòng)了一種“中間人攻擊”，并在發(fā)起這一惡意攻擊行動(dòng)的過程中從數(shù)字錢包平臺(tái)帶走了價(jià)值15.2萬美元的以太幣。

犯罪分子已經(jīng)設(shè)法購買到了谷歌廣告關(guān)鍵詞服務(wù)(Google AdWords)，并通過這一服務(wù)將“以太坊錢包(myetherwallet)”之類的詞語用作散播他們釣魚網(wǎng)頁的廣告關(guān)鍵詞，并且當(dāng)網(wǎng)民搜索“以太坊錢包(myetherwallet)”之類的關(guān)鍵詞時(shí)也會(huì)在搜索頁的醒目位置看到這些犯罪分子的釣魚網(wǎng)頁。

與俄羅斯的聯(lián)系

到目前為止，還沒有任何人提供針對(duì)這次釣魚式網(wǎng)絡(luò)攻擊的補(bǔ)救措施。由于以太坊錢包(MyEtherWallet)存在弱點(diǎn)，所以這些惡意攻擊行動(dòng)可能會(huì)失控。然而風(fēng)險(xiǎn)咨詢公司--RiskIQ給出了一些建議，此公司建議所有使用數(shù)字錢包的人在使用該平臺(tái)時(shí)要格外小心，尤其是在處理可疑的URL鏈接時(shí)要多加注意。

犯罪分子已經(jīng)把這個(gè)精心策劃的攻擊行動(dòng)運(yùn)作了相當(dāng)長的一段時(shí)間。然而到目前為止各方仍然不清楚有多少人可能已經(jīng)落入了這一陷阱，同時(shí)也不知道有多少通證已經(jīng)被偷走了。雖然這次攻擊的參與者身份尚不清楚，但安全研究公司發(fā)現(xiàn)了一批與這些攻擊者有關(guān)的IP地址，據(jù)這些IP地址顯式，這些攻擊者可能位于俄羅斯。

這次針對(duì)以太坊錢包的黑客攻擊行為凸顯了安全防護(hù)功能對(duì)于數(shù)字錢包用戶的重要性。如果用戶想要在處理數(shù)字貨幣的時(shí)候有安全的保證，那么這些用戶就需要去選擇使用已經(jīng)添加了多層防護(hù)措施的數(shù)字錢包。

這次攻擊也表明，犯罪分子正在慢慢地將注意力從各類加密貨幣交易所轉(zhuǎn)移出來，這些交易所在相當(dāng)長的一段時(shí)間內(nèi)一直受到攻擊。在2018年初的時(shí)候，日本加密貨幣交易所Coincheck由于一個(gè)重大的安全漏洞而成為了受害者，犯罪分子通過這一漏洞盜走了Coincheck價(jià)值5億美元的NEM通證。

有專業(yè)人士建議相關(guān)用戶盡可能使用像Ledger和Trezor這樣的硬件錢包，因?yàn)樗鼈儽仍诰€錢包更安全。