俄罗斯出现新的恶作剧木马，欧洲委员会数据泄露以及其他网络安全事件 - ForkLog：加密货币、人工智能、奇点、未来

# 俄罗斯出现新的“恶作剧木马”，欧盟委员会数据泄露以及其他网络安全事件

我们汇总了过去一周网络安全领域最重要的新闻。

• 监视、篡改加密地址并进行嘲弄：在俄发现“恶作剧木马”。
• 用于窃取加密货币的软件服务器地址在 Spotify 和 Chess.com 中被发现。
• 向一名黑客指控其从加密交易所 Uranium 盗窃 5300 万美元。
• 专家发现更新的窃密器（stealer）种子短语（seed phrase），与 Apple 和 Android 相关。

监视、篡改加密地址并进行嘲弄：在俄发现“恶作剧木马”

专家“卡巴斯基实验室”（Лаборатории Касперского）在俄罗斯发现了一个用于传播新型木马的活跃活动。CrystalX 通过在 Telegram 和 YouTube 上的社交媒体广告，以 CaaS 模式进行推广。

该软件同时充当间谍和窃密器，使其能够执行以下操作：

• 窃取浏览器的凭据，以及 Steam、Discord、Telegram 账号；
• 在剪贴板中悄无声息地篡改加密钱包地址；
• 隐蔽地录制来自屏幕和网络摄像头的声音与视频。

恶意程序的一个显著特征是其实时对用户的嘲弄。为此，面板包含一个名为 Rofl 的独立分区，并配套相应命令：

• 从指定 URL 地址下载图像，并将其设为桌面背景；
• 将屏幕方向更改为 90°、180° 或 270°；
• 使用 shutdown.exe 工具来关闭操作系统；
• 交换鼠标左键与右键的功能，反之亦然；
• 关闭显示器并锁定输入；
• 通过短间隔抖动光标；
• 隐藏桌面上所有文件图标，禁用任务栏、任务管理器以及 cmd.exe。

此外，攻击者还可以向受害者发送消息，此后系统会打开一个用于双向通信的对话窗口。

来源：“卡巴斯基实验室”。正如 Kaspersky GReAT 高级专家 Leonid Bezvershenko 在接受《杜罗夫密码》（«Коду Дурова»）评论时所指出的那样，该病毒正在被积极开发并由其创建者进行支持。随着攻击地理范围的扩大，他预计受害者数量会增长。

专家建议仅从官方商店下载应用，安装可靠的杀毒软件，并在 Windows 中启用显示扩展名，以避免误运行危险文件格式 .EXE、.VBS 和 .SCR。

用于窃取加密货币的程序服务器地址在 Spotify 和 Chess.com 中被发现

Solar 4RAYS 的研究人员注意到，黑客会在 Spotify 和 Chess.com 的个人资料中隐藏窃密器 MaskGram 的指挥（管理）服务器地址。

MaskGram 旨在窃取账户和加密货币，并且具备加载额外模块的能力。

恶意软件会收集有关系统的数据、进程列表以及已安装的应用，并制作截图。它会从 Chromium 浏览器、加密钱包、邮件客户端、即时通讯软件和 VPN 应用中提取信息。

攻击者通过社交工程传播软件：将其伪装成被破解的付费程序版本，用于对泄露数据库的海量登录名和密码进行批量验证，例如 Netflix Hunter Combo Tool、Steam Combo Extractor 和 Deezer Checker。

据专家称，该软件使用“死信箱”（Dead Drop Resolver，DDR）技术，允许将指挥服务器的信息存储在公共服务的页面中，并能快速更换。

感染的机器不会连接可疑 IP，而是连接 Spotify 或 Chess.com，显示正常的用户活动。

Chess.com 用户资料中的 about 字段。来源：Solar 4RAYS。针对每个平台使用一组不同的标记。例如，对于 Chess.com：用户资料中的 about 字段。提取得到的字符串会先解码，然后变成服务器域名。

今年 3 月，Aikido 专家记录到使用窃密器 GlassWorm 的“死信箱”技术，应用于 Solana 区块链上的加密交易中。

向一名黑客指控其从加密交易所 Uranium 盗窃 5300 万美元

美国检方对 Jonathan Spalletta 提出指控，称其从加密交易所 Uranium Finance 盗窃超过 5300 万美元，并进行洗钱。

2021 年 4 月，Spalletta（同样也以昵称 Cthulhon 为人所知）入侵了基于 BNB Chain 的去中心化交易所（DEX）Uranium。结果资金短缺迫使公司关闭。

2025 年 2 月，在一次搜查中，执法部门从嫌疑人住所扣押了贵重物品，并恢复了总额约 3100 万美元的加密货币访问权限。

据执法人员称，Spalletta 通过 DEX 以及混币器 Tornado Cash 对被盗资产进行了洗钱。随后他将所得资金花在了收藏品上：

• Magic: The Gathering “Black Lotus” 卡牌——约 $500 000；
• 18 只密封的 Alpha Edition Magic: The Gathering 增补包——约 $1,5 млн；
• 第一版的完整基础套牌（Pokémon）——约 $750 000；
• 为纪念刺杀尤利乌斯·凯撒而铸造的古罗马硬币——超过 $601 000。

Spalletta 面临最高 10 年监禁（因计算机欺诈指控），以及最高 20 年监禁（若被认定犯洗钱罪）。

专家发现更新的窃密器种子短语，针对 Apple 和 Android

“卡巴斯基实验室”的研究人员发现了一种用于从 Apple App Store 和 Google Play Store 窃取加密货币的新版本恶意软件 SparkCat。据 The Hacker News 报道。

窃密器伪装成无害的应用，例如企业即时通讯软件和外卖配送服务。它在后台模式下扫描受害者的照片图库，以寻找加密钱包的种子短语。

专家分析了 App Store 中的两个感染应用以及 Google Play 中的一个感染应用。其主要面向亚洲地区的加密货币用户：

• iOS 版本。会扫描英文的加密钱包助记短语（mnemnemonic phrases）。这种做法使 iOS 版本在全球范围内潜在更具危害性，因为它可能影响不依赖其地区的用户；
• Android 版本。更新后的版本相比之前出现了若干层代码混淆。该软件使用代码虚拟化和跨平台编程语言来规避分析。此外，它会在日语、韩语和中文中查找关键词，这印证其聚焦亚洲地区。

专家认为，该行动中可能牵涉中国或俄语使用者的运营者。根据最新数据，该威胁正在积极发展，其背后人员具备高水平的技术能力。

欧盟委员会确认：ShinyHunters 网络攻击导致数据泄露

欧盟委员会（ЕК）证实，在针对 Europa.eu 网站平台的网络攻击之后发生了数据泄露。此次事件的责任由 ShinyHunters 的勒索团伙承担。

欧盟委员会表示，该事件并未破坏门户网站的运行，并已成功得到本地化处理。

尽管委员会未提供细节，但攻击者称其已从 BleepingComputer 窃取超过 350 GB 的信息，其中包括多个数据库。他们没有披露入侵 AWS 账号的方法，但提供了截图，用以证明部分欧盟委员会员工账户已获得访问权限。

该团伙还在其暗网泄露网站上发布了一篇帖子，声称被盗走超过 90 GB 的文件：

• 邮件服务器的转储（dumps）；
• 数据库；
• 机密文件和合同；
• 其他敏感材料。

来源：BleepingComputer 另外也在 ForkLog 提到：

• Solana 项目 Drift Protocol 损失了 $280 млн。
• CertiK 警告通过 OpenClaw 盗窃加密货币的风险。

周末可以读什么？

在研究了研究团队提供的数据、企业报告以及当前局势之后，ForkLog 搞清楚了“脑—计算机”界面技术正在如何发展。