黑客利用钓鱼攻击窃取了Electrum钱包用户771个BTC
    0
原文
分类:安全 来源:bcsec 收藏
H
Posted

自2018年12月底以来,一系列有针对性的网络钓鱼攻击一直在持续进行,导致目前Electrum比特币钱包用户已经损失了771比特币(大约400万美元)。

根据Malwarebytes Labs发布的研究,攻击者能够通过利用钱包的缺陷欺骗毫无戒心的用户下载恶意钱包。

今年二月,Electrum背后的开发人员决定利用自己软件中的相同缺陷,引导用户下载最新的补丁版本。

然后,在三月,情况变得更糟,开发人员开始利用另一个未知的漏洞,主要攻击存在缺陷的客户端,以阻止他们连接到恶意节点,他们称之为“反击”。

在此之后,攻击者使用僵尸网络 对Electrum服务器发起了分布式拒绝服务(DDoS)攻击,以更好地针对钱包已经过时、易受攻击的用户。

为什么攻击会发生?

Malwarebytes的研究人员解释说,Electrum实现了一种名为“简化支付验证”(SPV)技术的变种,被称为“轻量级”比特币钱包。

这种技术使用户无需下载比特币区块链的完整副本即可发送和接收交易(完整副本大小高达数百GB)。

相反,Electrum以客户机/服务器(C/S)的架构运行。钱包或客户端被设定为连接到P2P网络,以验证交易是否有效。

虽然这在历史上一直是一种相当安全的处理方法,但攻击者利用了这样一个事实,即任何人都可以操作公共的Electrum P2P节点。

如下图所示,Electrum网络上活跃的P2P节点数量显着增加:

图片来源:http://vps.hsmiths.com:49001/munin/hsmiths.com/vps.hsmiths.com/electrumx_peers.html

恶意钱包

在研究结果中,Malwarebytes将恶意的Electrum钱包称为“Variant 1”和“Variant 2”。研究表明,该特定活动背后的行动者已经活跃了一段时间。

考虑到这一点,研究人员表示,在2018年12月21日之前,这种恶意软件的其他变种可能已经存在。

根据恶意软件中发现的一些差异,Variant 1和Variant 2似乎是由不同的攻击者操作的。

Variant 1的独特之处在于恶意软件作者实现了将被盗钱包密钥和种子数据上传到远程服务器的功能。还试图通过混淆在Electrum中找不到的文件中(通常名为“initmodules.py”)的数据泄漏代码来确保隐藏此功能。

此外,钱包中发现的所有余额都被会发送到由攻击者控制的几个预先设定的公共地址中的其中一个。在这种情况下,所选目标地址取决于受感染用户的Electrum钱包使用的地址格式。

研究人员发现Pay-to-PubkeyHash(P2PKH)地址是安装过程中的默认选项,这意味着运行默认设置的用户似乎是最多的。这一点可以从以下每个地址的活动中得到证明:

Variant 1总计:218.1527981 BTC,约1,101,034百万美元

研究人员说,Variant 2攻击性很强,导致它比Variant 1窃取了更多的比特币。

Variant 2不是将受害者重定向到恶意Github站点,而是通过一个类似于合法的Electrum下载站点的域来托管恶意软件。

(仿冒网站)

调查结果表明,攻击者似乎非常了解Electrum钱包以及其代码。

例如,他们禁用了自动更新,删除了诸如“是的,我确定”之类的提示,甚至取消了Replace-by-fee
(RBF)交易  的功能 -该功能后来添加到开发中的比特币代码库中,可以创建双花交易。在这种情况下,如果您知道这个功能(可能很少有人知道),您可以通过使用更高的矿工费来逆转被盗的资金转账。

Variant 2总计:398.5208 BTC,约2,018,436百万美元

那么,所有比特币都去了哪里?

通过分析链上的交易,研究人员发现Variant 1窃取的资金已被小额分散到不同的地址中。

具体是,48.36 BTC(244,001美元)  被重新分散为3.5 BTC($ 17,659)  金额一组,然后是1.9 BTC($ 9,586)金额一组。

研究人员认为,这种模式意味着它可能是被称为“smurfing”的洗钱技术的证据。

这是因为7000美元的存款不太可能触发CTR(货币交易报告),因为该金额低于指定的10000美元阈值。

未来的攻击?

总的来说,Malwarebytes的研究人员认为未来可能还会发生类似攻击。

“任何追踪加密货币的人都知道,这将是一场疯狂之旅。他们在一篇博客中写道:“攻击者利用最受欢迎的比特币钱包中的一个漏洞,制造了一个非常聪明的网络钓鱼攻击,在短短几个月时间里,他们至少净赚了300多万美元。”

当Electrum为了保护毫无防备的受害者免受盗窃时,犯罪分子采取了持续的DDoS攻击作为报复。研究人员继续说道:“两党之间很可能存在某种敌意,但随着僵尸网络继续攻击合法的Electrum节点,恶意网络就会得到提升,继续推送虚假更新,并陷入恶性循环,盗走更多受害者的加密货币。”

最终,运行自己的Electrum服务器的人可以通过不同方式缓解这些攻击,但最好是他们将钱包更新到官方存储库中的最新版本(3.3.4),并对钓鱼信息时刻保持警惕。

x

添加到收藏