随着加密货币市场的快速发展,相关用户数量不断增加,随之而来的安全隐患也日益凸显。网络攻击者利用社交工程手段伪装成各类虚假游戏平台和人工智能初创企业,专门针对加密货币持有者发起针对性钓鱼攻击,传播复杂的恶意软件。此次攻击不仅大幅提升了黑客的成功率,同时也让受害者面临数字资产被窃取的巨大风险。攻击的主要传播渠道集中在Telegram和Discord等即时通信平台,这些平台因其匿名性和社区活跃性,被攻击者利用来寻找并接触潜在目标。黑客通过伪造的企业社交媒体账户,例如X(原Twitter)、GitHub和Notion,构建出具备高度可信度的假冒企业形象,从而骗取用户的信任。这些帐号往往展示出详尽且专业的项目白皮书、路线图以及团队成员信息,甚至上传经过篡改的会议和产品发布图片,使虚假企业形象更加逼真。
一个典型的案例是名为“Eternal Decay”的虚假区块链游戏,该账号通过发布伪造的会议照片和宣传材料,在加密货币社区内营造出极高的关注度。类似的虚假公司不止一家,包括BeeSync、Buzzu、Cloudsign、Dexis等多个名称不一致、但手法雷同的假冒初创企业,均参与了此轮攻击活动。攻击者通常先通过X平台的被劫持或冒用账号联系目标用户,以测试版软件试用奖励的名义诱导用户下载安装其恶意应用。用户一旦点击下载链接,就会被引导至仿真网站,在输入伪造的注册码后,下载适用于Windows或macOS的恶意程序。Windows版本的恶意程序伪装成Electron应用,启动后界面显示Cloudflare验证页面,让用户误以为是正常登录行为。后台则偷偷收集设备信息并下载真正的恶意安装包,极有可能载入信息窃取工具。
macOS版本的攻击则利用Atomic macOS Stealer(AMOS)入侵,这是一款针对macOS系统的高级信息窃取恶意软件,能够直接窃取用户文件、浏览器数据和加密钱包信息,并将数据传送到外部服务器。攻击程序亦会植入持续化机制,利用macOS的Launch Agent确保恶意软件随着系统启动自动运行。此外,还会添加隐藏的Objective-C/Swift二进制文件,追踪用户应用程序使用情况及操作时间,并秘密上传给远端服务器。这些高复杂度的恶意软件显示出攻击背后有组织良好且经验丰富的黑客团队。安全研究机构Darktrace分析此次活动时指出,这类攻击与现有臭名昭著的黑客组织“Crazy Evil”所使用的战术极为相似。该组织以散布StealC、AMOS及Angel Drainer等信息窃取工具著称。
虽然尚无确凿证据确认此次攻击与“Crazy Evil”直接相关,但相似的攻击方式表明此类威胁持续存在并且正在升级。过去的同类攻击案例可以追溯到2024年3月,当时安全公司Jamf Threat Labs识别到域名“meethub[.]gg”被利用传播Stealer恶意软件。随后,又出现名为“Meeten”的虚假视频会议平台诱骗用户下载并安装含恶意代码的软件。此类攻击循序渐进,从伪装项目和会议邀请,到最终诱使用户下载安装木马,手法步步深入。加密货币用户作为高价值目标,因持有数字资产及对新兴技术的敏感程度,经常受到此类攻击的重点关注。如今,攻击者更是将目标范围扩展到基于人工智能、Web3及社交媒体的虚假产品,提高诱饵的针对性和吸引力。
面对这种高仿真度且层层设防的攻击,用户须提升安全意识,谨慎核实身份和链接来源。首先,针对通过社交渠道收到的任何邀请或软件测试请求,务必通过官方渠道独立验证其真实性,避免轻信任何来源不明或缺乏明确背景的推送。其次,应避免下载和运行未经过安全扫描的应用程序,尤其是那些要求输入注册码或授权的安装程序,因为这往往是恶意程序植入的关键环节。方案方面,加密货币用户和相关企业应当采用多层防护策略,包括部署先进的行为检测系统、加强账户多因素认证、及时更新系统和安全补丁,同时注重对员工和用户的网络安全培训。社交平台也需要加强账号安全管理,提高对被劫持或假冒账号的识别能力,避免为恶意分子提供便利。安全公司和社区应持续汇聚情报,及时跟踪与通报此类高级持续性威胁(APT)和社交工程活动,为加密货币生态系统构筑坚固屏障。
总体来看,随着攻击者频繁更换策略,假冒公司伪装手段越发老练而隐蔽,单一的防护措施已无法有效遏制风险。唯有通过多方联动、强化防御机制和提升整体安全素养,才能最大限度地减少数字资产因这些隐秘恶意行动而受到的损害,保障加密货币行业的健康稳定发展。
