主页 > imtoken usdt钱包 > 诈骗任务:不可能,Water Labbu利用其他攻击者的恶意DApp窃取加密货币
诈骗任务:不可能,Water Labbu利用其他攻击者的恶意DApp窃取加密货币
Dapp(去中心化应用程序)是一种在网络上公开运行的软件应用程序。 它们与普通应用程序没有区别,功能相同,但不同的是Dapp运行在P2P网络上。 这意味着Dapp是一种新的去中心化方式,同时也融合了加密货币。
DAPP与APP的主要区别在于:第一盗usdt最新程序,APP是在安卓或苹果系统上安装运行; DAPP在区块链公链上开发,结合智能合约; 二是APP信息存储在数据服务平台上,运营商可以直接修改。 DAPP数据加密存储在区块链中,难以篡改。
趋势科技研究人员最近发现了一个名为 Water Labbu 的攻击组织,该组织以加密货币诈骗网站为目标。 通常,加密货币诈骗者使用社会工程技术,与受害者互动以获得他们的信任,然后操纵他们提供转移加密货币资产所需的权限。 虽然 Water Labbu 也使用类似的方法通过访问受害者的钱包来窃取加密货币,但与其他类似的活动不同,他们不使用任何类型的社会工程,至少不直接使用。 相反,Water Labbu 正在借用其他诈骗者的社会工程活动来欺骗毫无戒心的受害者。
通过这种寄生方式盗usdt最新程序,攻击者伪装成 DApp 潜入其他诈骗者的网站,并向它们注入恶意 JavaScript 代码。
当攻击者发现受害者在连接到其中一个欺诈网站的钱包中存储了大量加密货币时,注入的 JavaScript 负载将发送权限请求。 该请求被伪装成从一个受感染的网站发送,并请求允许从目标钱包中转移几乎无限量的 USD Tether(USDT,一种与美元 1:1 挂钩的稳定币)。
Water Labbu 的目标认为该请求最初是由 DApp 提出的,这可能导致他们忽视了对许可细节的彻底审查。 但是授予的权限并不属于原骗子的加密地址,而是属于Water Labbu控制的另一个地址。 然后攻击者可以使用获得的权限从受害者的钱包中提取所有 USDT 资金。
Water Labbu攻击流程
截至发稿,研究人员发现45个加密货币相关DApp网站已被Water Labbu破解。 这些网站的风格和主题类似于无损挖矿项目骗局中使用的那些。
在检查了攻击者地址在以太坊区块链上的交易记录后,研究人员发现他们已经成功从至少 9 个不同的受害者那里窃取了资金,总计至少 316,728 USDT。
接下来,我们将描述攻击者如何使用注入的 JavaScript 代码从欺诈性 DApp 网站劫持加密货币。
泄露的欺诈DApp网站截图
分析加密货币窃取程序
如上所述,Water Labbu 的方法涉及攻击欺诈 DApp 网站并将其 JavaScript 有效载荷注入其中。 DApp 网站似乎是通过某种形式的自定义模板设计的,其中通过向给定 URL 发送 HTTP 请求以 JSON 格式接收公告框中显示的消息。 请求的内容显示了一个 JSON 对象,该对象具有一个包含多个嵌入项的“帮助程序”项。 第一项显然是注入的,它包含对 base64 编码脚本的评估。
诈骗 DApp 网站公告框的可视化示例
以JSON格式显示接收到的数据
在研究人员分析的其中一个样本中,Water Labbu 注入了一个 IMG 标签,该标签使用“onerror”事件加载 Base64 编码的 JavaScript 负载,这是一种所谓的 XSS 规避技术,以绕过跨站点脚本 (XSS) 过滤器. 注入的有效载荷然后创建另一个脚本元素,从发送服务器 tmpmeta[.]com 加载另一个脚本。 发送服务器然后过滤受害者并根据 IP 地址和浏览器 User-Agent 标头(用于帮助确定受害者的环境)发送不同的内容。
研究人员注意到以下行为:
1. 如果受害者从使用 Android 或 iOS 的移动设备加载脚本,它会返回具有加密货币盗窃功能的第一阶段脚本。
2. 如果受害者从运行 Windows 的桌面加载脚本,则会返回另一个脚本,显示虚假的 Flash 更新消息,要求受害者下载恶意可执行文件。
值得一提的是,发送服务器实现了一种机制,可以避免在短时间内从同一 IP 地址多次加载脚本。如果发送服务器的 IP 地址在过去几个小时内被访问过,或者受害者的设备类型正在使用不满足其他必要条件,它将返回一个简单的窃取脚本,该脚本将收集 cookie 和 LocalStorage 数据并将它们发送回交付服务器
收集 cookie 和 LocalStorage 数据的窃取脚本
加密货币窃取脚本:第一阶段
最初,加载 web3.js 库。 这为第一阶段脚本提供了连接到受害者钱包的能力,尽管如果受害者的钱包连接到受感染的 DApp 网站,恶意脚本只会与受害者的钱包通信。 通过访问钱包,Water Labbu 可以收集目标的以太坊地址和余额。 该脚本还与 Tether USD 智能合约交互以接收受害者的 USDT 余额。 如果钱包中的ETH数量大于0.001或USDT数量大于1,则将钱包余额信息和钱包地址通过HTTP请求发送给信息采集服务器linkstometa[.]com。
以下文本显示了提取钱包余额的请求:
收集钱包余额和默认钱包地址的脚本(去混淆)
加密货币窃取脚本:第二阶段
一旦报告余额中的 ETH 余额高于 0.005 ETH 且 USDT 代币余额高于 22000 USDT,导出请求将返回到第二阶段脚本。 否则,它会返回一个空的有效载荷并将受害者留给其他诈骗者。 在第二阶段脚本中,执行第三次余额检查并请求令牌限额批准。
负责显示令牌允许批准的脚本
令牌批准请求要求受害者向给定地址授予完成交易和使用加密资产的权限。 恶意脚本请求 10^32 USDT 的批准限制,这远远超过了区块链上可用的 USDT 代币总数。 当发出“批准”请求时,加密货币钱包应用程序将要求用户在确认之前查看请求的详细信息。 如果受害者没有仔细检查请求细节并授予 Water Labbu 地址权限,那么攻击者将能够从受害者的钱包中转移所有 USDT。
查看来自加密货币钱包的恶意权限请求的提示
区块链交易分析
在监测 Water Labbu 的运营过程中,研究人员注意到有两个地址被反复使用以接收赠款和转移受害者的加密货币资产。
地址 0xd6ed30a5ecdeaca58f9abf8a0d76e193e1b7818a 是第一个收到受害者令牌批准的地址。 截至2022年8月,该地址已7次成功使用“Transfer From”方式从不同地址接收USDT,可能属于该团伙受害者。 然后资金被转移到第二个地址 0x3e9f1d6e244d773360dce4ca88ab3c054f502d51。 第二个位置有两笔交易将被盗的 USDT 转移到另外两个地址:0x486d08f635b90196e5793725176d9f7ead155fed 和 0xfc74d6cfdf6da90ae996c999e12002090bc6d5bf。
地址 0xfece995f99549011a88bbb8980bbedd8fada5a35 是我们从 2022 年 6 月开始在 Water Labbu 的脚本中找到的更新地址。该地址成功地从两个地址中提取了 USDT,并在 Uniswap 加密货币交易所将它们兑换成美元硬币 (USDC),然后兑换成 ETH。 最后将 ETH 资金发送到 TTornado Cash 混合器。
截至 2022 年 8 月,Water Labbu 已从 9 名受害者那里发出了总计 316,728 USDT。
图表显示被盗的 USDT 交易
假闪感染链分析
当目标使用 Windows 桌面访问受感染的 DApp 网站时,发送服务器 tmpmeta[.]com 将返回一个不同的脚本,该脚本将尝试窃取 cookie 和 LocalStorage 数据。 它还从其他发送服务器加载其他脚本,例如 whg7[.]cc 和 r8s[.]cc。 发送服务器 r8s[.]cc 返回了最新的阶段脚本,在受攻击的网站上创建了一个虚假的 Flash 安装消息覆盖。 该消息用简体中文表示,Flash Player 支持已于 2020 年 9 月 14 日终止,需要下载最新版本才能继续浏览该页面。
Windows 桌面系统上的脚本加载顺序
虚假的 Flash Player 安装信息覆盖在被攻击的网站上
可从 GitHub 存储库“flashtech9/Flash”下载的文件列表
总结
Water Labbu 通过将其恶意脚本注入其他诈骗者的欺诈网站而成功窃取加密货币资金,表明其愿意利用其他恶意行为者的方法来达到自己的目的。
用户应了解来自不受信任方的任何投资邀请。 此外,他们不应在任何未知平台上交易加密货币。