俄罗斯威胁行为者正在猖獗 游戏开发者 欺诈性 Web3 游戏项目会在 MacOS 和 Windows 设备上投放多种信息窃取程序变体。
据发现该恶意活动的 Recorded Future 旗下 Insikt Group 称,该活动的最终目标似乎是欺骗受害者并窃取他们的加密货币钱包。
据报道,大规模的俄语活动通过对项目名称和品牌进行轻微改动来模仿合法项目,甚至使用多个虚假社交媒体帐户来冒充这些项目,以使它们看起来真实。 报告 在线发布。
在攻击中,项目的主网页提供所谓的“游戏”软件的安装文件或链接,表面上供开发人员使用。然而,这些文件反而提供 原子 macOS 窃取器 适用于基于 Intel 或 ARM 的设备; 拉达曼蒂斯;或 RisePro,具体取决于受害者的操作系统。
“此次活动的针对性表明,威胁行为者可能会认为 Web3 游戏玩家更容易受到社会工程的影响,这是由于假设的网络卫生权衡——这意味着 Web3 游戏玩家针对网络犯罪的保护措施可能较少——追求利润”,报告称。
该利润以加密货币的形式出现,因为攻击者主要针对开发人员的加密钱包,目的是损害这些钱包。 Web3游戏是指基于区块链技术构建的在线游戏,例如Axie Infinity和MixMob,这可以为赚取各种加密货币的玩家带来经济收益。
Insikt Group 表示:“由于钱包泄露仍然是 Web3 和加密货币安全中最大的威胁……我们评估钱包泄露可能是该活动的最终目标。”报告称,攻击者还可以使用从恶意活动中获取的凭据“进行一系列未经授权的帐户访问”。
事实上,该报告概述了一些社交媒体报道,称游戏开发商成为了骗局的受害者,他们的加密钱包被掏空,其中一名开发商损失了约 2.5 个以太坊,即约 8,000 美元。
通过冒充设置陷阱
攻击活动以所谓的“陷阱”的形式进行 钓鱼”,恶意行为者借此复制并部署类似的 Web3 项目。
在 Web3 智能合约审计员 CertiK 一月份描述了一个名为 Astration 的项目后,Insikt 研究人员开始调查这一恶意活动,该项目使用虚假职位空缺和不可替代的代币 NFT 产品来引诱游戏开发者参与传播信息窃取者的陷阱网络钓鱼活动。
该欺诈项目复制并重新创建了与名为 Alteration 的合法项目相关的几乎所有社交媒体帐户,包括重新发布合法帐户的社交媒体内容、建立该项目的 Discord 服务器的直接副本,以及传播两种类型的恶意软件。
经过进一步研究,Insikt 发现了另外五个欺诈性游戏项目,其中三个提供与从 Astration 项目获得的相同命令和控制 (C2) 服务器通信的恶意文件,以及两个不再活跃但已停止运行的游戏项目。被发现与活跃的骗局类似。与活跃项目相关的游戏名称为 ArgonGame、DustFighter 和 CosmicWay Reboot,而与非活跃项目相关的游戏名称为 Crypterium World 和 Myth Island。
Insikt 表示,总体而言,威胁行为者正在通过“弹性基础设施,使他们能够通过重新命名或转移检测重点来快速适应”。
保持警惕以降低风险
Insikt 强调,个人和组织都必须对威胁保持持续警惕,并针对以网络钓鱼作为初始切入点的活动采取缓解策略。为此,该组织在其报告中提出了一些缓解措施,并包含了一系列妥协指标。
一是为用户(尤其是那些参与 Web3 游戏或相关行业的用户)提供全面的培训,以识别与陷阱网络钓鱼相关的社会工程策略。报告称,游戏开发商尤其应该“仔细审查在社交媒体上宣传的 Web3 项目的合法性”。
组织还应教育用户了解从未经验证的来源下载软件所带来的众所周知的风险,以及在安装之前验证项目网站真实性的重要性。
使用最新威胁情报更新的端点保护解决方案 - 例如能够检测和阻止的防病毒软件 已知的信息窃取者 Atomic、Stealc 等变体, 拉达曼蒂斯及 升临 - 还可以帮助组织避免妥协。
Insikt 表示,组织还应该部署多平台安全措施,以防止 macOS 和 Windows 设备上的恶意软件感染,包括防火墙、入侵检测系统以及端点检测和响应 (EDR) 解决方案。
