俄羅斯出現新的惡搞特洛伊木馬，歐盟委員會數據外洩，以及其他網絡安全事件 - ForkLog：加密貨幣、人工智慧、奇點、未來

# 俄羅斯出現新型惡作劇木馬（prank-trojan）、歐洲委員會資料外洩與其他網路資安事件

我們整理了本週來自網路資安領域最重要的新聞。

• 盯梢、替換加密貨幣位址、還戲弄：在俄羅斯發現惡作劇木馬。
• 發現用於竊取加密貨幣的軟體伺服器位址在 Spotify 和 Chess.com。
• 檢方對一名駭客提出指控，指其從加密交易所 Uranium 盜走 $53 млн。
• 專家發現更新版偷竊器（stealer）的種子短語（seed phrase）針對 Apple 和 Android。

盯梢、替換加密貨幣位址、還戲弄：在俄羅斯發現惡作劇木馬

「卡巴斯基實驗室」（Лаборатории Касперского）的專家在俄羅斯境內發現正在運作的新型木馬散播活動。CrystalX 透過在社群媒體上投放廣告、使用 CaaS（惡意即服務）模式進行推廣，投放平台包含 Telegram 與 YouTube。

該軟體同時扮演間諜與偷竊器（stealer）的角色，能夠執行以下操作：

• 竊取瀏覽器的憑證，並同時竊取 Steam、Discord、Telegram 帳戶；
• 在不引人注意的情況下，於剪貼簿中悄悄替換加密錢包位址；
• 以隱蔽方式錄下螢幕與網路攝影機的音訊和影片。

這款惡意程式的一大特徵，是在即時互動中嘲諷使用者。為此，面板包含一個名為 Rofl 的獨立區塊，內含對應指令：

• 從指定 URL 位址載入影像，並將其設為桌面背景；
• 將螢幕方向變更為 90°、180° 或 270°；
• 使用 shutdown.exe 工具讓作業系統關機；
• 互換滑鼠左鍵與右鍵的功能；
• 關閉螢幕並封鎖輸入；
• 讓游標在短暫間隔內抖動；
• 隱藏桌面上所有檔案圖示，停用工作列、工作管理員與 cmd.exe。

此外，攻擊者還可以向受害者傳送訊息，接著在系統中會開啟對話視窗，用於進行雙向通訊。

來源：「卡巴斯基實驗室」。正如 Kaspersky GReAT 資深專家 Leonid Bezvershchenko 在接受《杜羅夫程式碼》（«Коду Дурова»）評論時所指出的那樣，這個病毒正在被攻擊者積極持續開發與維護。他預期，隨著攻擊地域的擴大，受害人數也會增加。

專家建議僅從官方商店下載應用程式、安裝可靠的防毒軟體，並在 Windows 啟用顯示副檔名，以避免不小心啟動危險的 .EXE、.VBS 與 .SCR 等格式檔案。

發現用於竊取加密貨幣的軟體伺服器位址在 Spotify 和 Chess.com

Solar 4RAYS 的研究人員注意到，駭客會在 Spotify 與 Chess.com 的個人檔案中隱藏偷竊器 MaskGram 的管理伺服器位址。

MaskGram 目標是竊取帳戶與加密貨幣，同時還具備載入額外模組的能力。

惡意程式會蒐集系統資料、程序清單與已安裝的應用程式，並製作螢幕截圖。它會從 Chromium 瀏覽器、加密錢包、電子郵件用戶端、通訊軟體與 VPN 應用程式中擷取資訊。

攻擊者透過社交工程散播這類軟體：他們偽裝成遭破解的付費程式版本，用於大規模檢查洩漏資料庫中的帳號與密碼，例如 Netflix Hunter Combo Tool、Steam Combo Extractor 與 Deezer Checker。

依據專家的說法，該軟體使用「死信箱」技術，或稱 Dead Drop Resolver（DDR）。此技術能讓管理伺服器的資訊儲存在公開服務的頁面中，並且可以快速更換。

受感染的裝置並非連線到可疑的 IP，而是連到 Spotify 或 Chess.com，並呈現一般使用者的正常活動。

Chess.com 使用者個人檔案中的 about 欄位。來源：Solar 4RAYS。每個平台都使用各自的一組標記（markers）。例如在 Chess.com，使用者個人檔案中的 about 欄位。擷取到的字串經過解碼後，會轉換成伺服器網域。

在 3 月，Aikido 的專家記錄到，偷竊器 GlassWorm 在 Solana 區塊鏈的加密交易中使用「死信箱」技術。

檢方對一名駭客提出指控，指其涉嫌從加密交易所 Uranium 盜走 $53 млн

美國檢方對 Jonathan Spallette 提出指控，指其從加密交易所 Uranium Finance 盜走超過 $53 млн，並進行洗錢。

在 2021 年 4 月，Spallette（也就是以暱稱 Cthulhon 為人所知）入侵了建立在 BNB Chain 上的去中心化交易所（DEX）Uranium。結果資金缺口迫使公司關閉。

2025 年 2 月，在搜查期間，執法單位從嫌疑人的住所扣押了有價物品，並同時恢復了價值約 $31 млн 的加密貨幣存取權。

依據執法單位的說法，Spallette 透過 DEX 與洗錢器 Tornado Cash 洗白遭竊資產。其後他把取得的資金用在收藏品上：

• Magic: The Gathering《Black Lotus》牌卡——約 ~$500 000；
• 18 盒封存的 Alpha Edition Magic: The Gathering 收藏包——約 ~$1,5 млн；
• 第一版精裝的完整基本套牌（Pokémon）——約 ~$750 000；
• 為紀念刺殺尤利烏斯・凱撒（Юлий Цезарь）而鑄造的古羅馬硬幣——超過 $601 000。

Spallette 面臨最高 10 年的監禁刑期，罪名為電腦詐欺；若被判定洗錢罪成立，則可能面臨最高 20 年。

專家發現更新版偷竊器的種子短語（seed phrase）針對 Apple 和 Android

「卡巴斯基實驗室」的研究人員發現，用於竊取加密貨幣的惡意程式 SparkCat 新版本，正在投放到 Apple App Store 與 Google Play Store。相關消息由 The Hacker News 報導。

該偷竊器偽裝成看似無害的應用程式，例如企業通訊軟體與外送餐飲服務。它在背景模式下會掃描受害者的照片相簿，以尋找加密錢包的種子短語。

專家分析了在 App Store 內感染的兩個應用，以及在 Google Play 內感染的一個應用。這些應用主要針對亞洲的加密貨幣使用者：

• iOS 版本。掃描以英文撰寫的加密錢包助記詞（mnemonic phrases）。這種作法使 iOS 版本在全球層面上可能更具危險性，因為它可能影響到不論其地區的使用者；
• Android 版本。更新版相較於先前版本增加了多層程式碼混淆。該軟體使用程式碼虛擬化與跨平台的程式語言來繞過分析。此外，它還會搜尋日文、韓文與中文的關鍵字，這也證實了其聚焦在亞洲地區。

專家認為，此次行動牽涉到中文或俄語使用者的操作者。根據最新資料，這項威脅正在積極演進，而幕後人員具備高度的技術能力。

歐洲委員會證實：遭受 ShinyHunters 網路攻擊後發生資料外洩

歐洲委員會（EK）證實：在一次針對 Europa.eu 網路平台的網路攻擊後，確實發生了資料外洩；此次責任由勒索者 ShinyHunters 承認。

在歐洲委員會聲明中表示，這起事件並未影響該入口網站（portal）的運作，且已成功將其影響範圍侷限。

儘管委員會沒有提供詳細資訊，攻擊者仍向 BleepingComputer 表示，他們成功竊取了超過 350 ГБ 的資訊，包括數個資料庫。他們沒有披露入侵 AWS 帳戶的方法，但提供了螢幕截圖，證明其取得了部分歐洲委員會員工帳戶的存取權。

該集團也在其暗網洩漏網站發布貼文，聲稱竊取的檔案超過 90 Гб：

• 郵件伺服器的資料傾印；
• 資料庫；
• 機密文件與合約；
• 其他敏感資料。

來源：BleepingComputer 另外在 ForkLog：

• Solana 專案 Drift Protocol 損失了 $280 млн。
• CertiK 提醒：透過 OpenClaw 竊取加密貨幣的風險。

週末可以讀些什麼？

在研究了研究團隊提供的資料、企業的報告以及目前的最新情況之後，ForkLog 釐清了「腦—電腦」介面技術正在如何發展。