StepDrainer 在超过20个网络中抽取加密钱包资金

一种名为 StepDrainer 的加密货币窃取工具正在从以太坊、BNB Chain、Arbitrum、Polygon 以及至少 17 个其他网络的钱包中抽走资金。

StepDrainer 以“恶意软件即服务”（malware-as-a-service）套件的形式运作。它使用虚假但看起来真实的 Web3 钱包弹窗来诱骗用户批准转账。其中一些界面被做得仿佛是 Web3Modal 钱包连接。

一旦有人连接了他们的钱包，StepDrainer 会先寻找最有价值的代币，并按照 LevelBlue 的说法，自动将这些代币发送到由攻击者控制的钱包。

StepDrainer 滥用智能合约工具

StepDrainer 滥用诸如 Seaport 和 Permit v2 之类的真实智能合约工具，用来展示看上去正常的钱包授权弹窗。但这些弹窗内部的细节都是假的。

在一起案例中，网络安全研究人员发现受害者看到的内容是一条虚假的信息，显示他们正在接收“+500 USDT”，从而让授权看起来更安全。

StepDrainer 通过更改脚本来加载其有害代码，并从去中心化的链上账户获取其部署所需的设置。

这种设置帮助攻击者躲过常规安全工具，因为有害代码并不存放在某一个固定位置，因而更不容易被轻易扫描。

StepDrainer 并不只是某个人的项目。研究人员表示，存在一个成熟的地下市场在出售现成的“窃取器”（drainer）套件，这使得许多攻击者更容易在他们已经在运行的诈骗中加入钱包窃取功能。

EtherRAT 从 Windows 用户手中 siphon 加密货币

研究人员还发现了另一个恶意软件，除 StepDrainer 之外的名为 EtherRAT 的程序。它通过伪装成 Tftpd64 网络管理员工具的假版本来针对 Windows。

根据 LevelBlue 的说法，EtherRAT 把 Node.js 隐藏在一个伪装的安装程序中，通过 Windows 注册表确保它能留在电脑上，并使用 PowerShell 来检查系统。

EtherRAT 先从 Linux 入手。现在，它正把恶意软件的伎俩和加密货币盗窃带到 Windows。

EtherRAT 会在后台悄悄运行。在开始窃取之前，它会检查诸如杀毒软件、系统设置、域名信息以及硬件等内容。

根据一份最近的 Cryptopolitan 报告，过去 24 小时内已有超过 500 个以太坊钱包被抽空。攻击者从中 siphon 走了超过 $800K in 加密资产，然后通过 ThorChain 交换了资金。

根据链上研究 Wazz 的说法，许多被抽空的钱包在超过 7 年里一直处于不活跃状态。被抽走的资金是由攻击者控制的某一个单一钱包地址进行转移的。

网络安全研究人员建议用户在连接钱包到未知站点时，先验证域名，在签名前阅读交易详情，并移除任何无限制的代币授权。

如果你正在阅读这篇内容，那你已经走在前面了。请继续订阅我们的通讯。