资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
网络安全研究人员发现针对macOS用户的复杂恶意软件活动
网络安全研究人员发现了一种针对持有加密货币的macOS用户的复杂恶意软件活动。这种名为Atomic Stealer(AMOS)的恶意软件专门冒充流行的Ledger Live应用程序,窃取有价值的加密货币钱包助记词,并从毫无戒心的受害者那里盗取数字资产。
最紧迫的问题
最紧迫的问题涉及恶意软件能够用几乎相同的恶意克隆替换合法的Ledger Live应用程序。一旦安装在受害者的系统上,假冒应用程序会显示欺骗性的弹出消息,要求用户输入他们的24字恢复短语,以进行所谓的安全验证或钱包同步。
这种社会工程策略利用了用户对真正的Ledger Live应用程序的信任,该应用程序广泛用于管理Ledger硬件钱包。当受害者输入他们的助记词时,敏感信息会立即传输到攻击者控制的命令和控制服务器,使网络犯罪分子能够完全访问相关的加密货币钱包。
来自多家公司的安全研究人员,包括Unit 42、Intego和Moonlock,已经确认了使用这种技术的活跃活动,受害者报告了从数百到数千美元不等的重大财务损失。
传播方法和初始感染途径
Atomic Stealer恶意软件采用多种复杂的传播渠道来接触潜在受害者。主要的感染途径包括精心设计的仿冒合法软件下载门户的网络钓鱼网站、放置在流行网站上的恶意广告以及被攻陷的软件仓库。
攻击者经常使用搜索引擎优化技术,确保当用户搜索合法应用程序时,他们的恶意下载网站在搜索结果中显著显示。这些假网站通常具有令人信服的官方品牌复制品,甚至可能包括伪造的用户评论和推荐。
另一种常见的传播方法是提供流行付费软件的破解或盗版版本。寻求昂贵应用程序免费替代品的用户会不知不觉地下载包含Atomic Stealer有效负载的恶意安装程序,这些安装程序与看似功能正常的软件捆绑在一起。
恶意软件的安装程序通常使用被盗或伪造的证书进行数字签名,使它们能够绕过基本的安全检查,并在操作系统和安全软件面前显得合法。这种技术显著提高了初始感染的成功率。
全面的数据窃取能力
虽然Ledger Live的冒充代表了Atomic Stealer最具财务破坏性的方面,但该恶意软件具有广泛的数据窃取能力,远远超出了加密货币应用程序。安全分析显示,该恶意软件可以从50多个不同的加密货币钱包浏览器扩展中提取敏感信息,包括MetaMask、Coinbase Wallet和Trust Wallet等流行选项。
该恶意软件系统地收集所有主要网络浏览器(包括Safari、Chrome、Firefox和Edge)中存储的密码。它专门针对密码管理器,如果在感染期间解锁,可以从1Password、Bitwarden和LastPass等应用程序中提取凭据。
财务数据窃取是另一个关键问题,Atomic Stealer能够从浏览器和财务应用程序中提取存储的信用卡信息、银行凭证和支付处理数据。该恶意软件还收集浏览器cookie,这些cookie可以为攻击者提供跨各种在线服务的受害者账户的认证访问。
系统侦察能力使恶意软件能够收集详细的硬件规格、已安装软件清单和用户账户信息。这些数据帮助攻击者识别高价值目标,并计划后续攻击或社会工程活动。
持久性机制和规避技术
Atomic Stealer采用复杂的技术来维持其在受感染系统上的持久性,并规避安全软件的检测。该恶意软件创建了多种持久性机制,包括启动代理、登录项和计划任务,确保即使在系统重启后也能继续运行。
该恶意软件使用高级混淆技术来隐藏其存在,避免被防病毒软件和系统监控工具发现。它经常更改文件名、位置和执行模式,以避免传统安全解决方案常用的基于签名的检测方法。
与命令和控制服务器的网络通信利用加密通道和域生成算法来保持连接,即使特定的恶意域被阻止或关闭。该恶意软件可以接收更新的指令并下载额外的有效负载以扩展其能力。
对加密货币安全格局的影响
Atomic Stealer的出现代表了针对加密货币用户的威胁的显著升级。与之前主要依赖基于浏览器的攻击或简单键盘记录器的恶意软件不同,该活动展示了复杂的应用程序冒充能力,甚至可以欺骗安全意识强的用户。
财务影响超出了个别受害者,因为成功的攻击削弱了对加密货币安全实践和硬件钱包解决方案的信心。真正的Ledger Live应用程序背后的公司Ledger已经发布了安全公告,警告用户注意冒充活动,并提供识别合法软件的指导。
行业安全专家指出,这种攻击模式可能会被复制到其他流行的加密货币应用程序中,可能包括Trezor Suite、Exodus和其他钱包管理软件。Ledger Live冒充活动的成功为针对更广泛的加密货币生态系统的类似攻击提供了蓝图。
检测和删除挑战
识别Atomic Stealer感染对用户和安全软件都提出了重大挑战。该恶意软件的复杂规避技术和看似合法的行为使其在常规系统扫描中难以与真正的应用程序区分开来。
用户可能不会立即识别感染,因为该恶意软件通常允许合法应用程序在后台操作时正常运行。症状可能只有在加密货币资金被盗或部署了专门设计用于检测此威胁家族的安全软件时才会变得明显。
安全研究人员建议使用来自知名供应商的更新防病毒解决方案,因为大多数主要安全公司已经为已知的Atomic Stealer变体添加了检测签名。然而,该恶意软件的快速演变意味着检测可能会落后于新变体。
保护策略
保护免受Atomic Stealer和类似威胁的侵害需要结合技术保障和用户教育的多层次安全方法。最关键的防御措施包括仅从官方来源和经过验证的应用商店下载软件,避免第三方下载网站和种子仓库。
用户应实施严格的助记词管理政策,除非绝对确定其合法性,否则切勿在任何应用程序或网站中输入恢复短语。硬件钱包制造商始终强调,合法应用程序永远不会为常规操作请求助记词。
定期对已安装的应用程序进行安全审计可以帮助识别可疑软件。用户应审查应用程序权限、网络连接以及最近安装的程序所做的系统修改。
保持操作系统和应用程序的更新确保已知的安全漏洞能够及时修补。在可能的情况下启用自动更新,减少通过已知攻击向量被利用的风险。
行业响应和未来影响
加密货币安全行业通过增强检测能力和用户教育计划对Atomic Stealer威胁做出了回应。硬件钱包制造商正在开发额外的认证机制,以帮助用户验证应用程序的合法性。
安全研究人员继续监控该威胁的演变,新变体定期出现。应用程序冒充攻击的成功表明,类似技术可能会应用于加密货币应用程序之外的其他高价值目标。
该事件强调了在快速发展的网络安全格局中保持警惕的至关重要性,特别是对于管理大量加密货币的用户。随着数字资产变得越来越主流,针对这些资源的复杂攻击可能会继续激增。
最后思考
Atomic Stealer恶意软件活动代表了针对加密货币用户的威胁的显著演变,展示了网络犯罪分子如何调整他们的技术以利用对合法应用程序的信任。Ledger Live的复杂冒充突显了在加密货币生态系统中增强安全意识和技术保障的必要性。
用户必须对软件来源、助记词管理和一般网络安全实践保持警惕,以保护他们的数字资产。随着威胁格局的不断演变,用户教育、技术防御和行业合作的结合对于维护加密货币领域的安全至关重要。
