惡意軟件與破解遊戲或應用程序的分發是網絡犯罪者手冊中最古老的把戲之一。令人驚訝的是,即使在 2024 年,仍然有天真的受害者相信現代的羅賓漢,認為從盜版網站下載破解的付費程序和遊戲是完全安全的。
儘管這種威脅已經存在很久,罪犯們仍不斷發明新方法,將惡意軟件傳送到受害者的計算機,以繞過安全解決方案。
最近發現了一個針對 Apple 電腦(最新版本 macOS 13.6 及以上)的此類攻擊活動,利用域名系統(DNS)服務的特性下載惡意負載。受害者被提供免費下載流行應用程序的破解版本。
假激活
在下載一個據稱包含破解程序的磁碟映像後,受害者被提示將兩個文件複製到應用程序文件夾中:應用程序本身和一個「激活器」程序。如果僅複製並啟動應用程序,它將無法運行。說明中指出,破解程序必須「激活」。分析顯示,激活器的功能非常簡單——它刪除應用程序可執行文件中的幾個初始字節,然後應用程序開始運行。實際上,罪犯們對一個已經破解的應用程序進行了修改,使其在沒有激活器的情況下無法啟動。當然,激活器還有一個不愉快的附加功能——啟動時,它請求管理員權限,並利用這些權限在系統中安裝一個腳本加載器。這個腳本從互聯網下載額外的惡意負載——一個後門,定期向罪犯請求命令。
通過 DNS 連接
為了下載惡意腳本,激活器轉向一個相當特殊且看似無害的工具——域名系統(DNS)。它有一個有趣的技術特性。每個 DNS 記錄不僅將服務器的互聯網名稱連接到其 IP 地址,還可以包含服務器的任意文本描述,稱為 TXT 記錄。罪犯利用這一點,將惡意代碼的片段放入 TXT 記錄中。激活器從一個惡意域名下載三個 TXT 記錄,並將它們組裝成一個準備好的腳本。
這個看似複雜的計劃有幾個優勢。首先,激活器並沒有做什麼特別可疑的事情——訪問 DNS 記錄是任何互聯網應用程序的常見活動,這是任何通信會話的必要第一步。其次,通過更改域名的 TXT 記錄,罪犯可以輕鬆更新腳本,以修改感染方案和最終的惡意負載。第三,由於域名服務的分佈結構,從網絡中刪除惡意內容並不那麼簡單。對於互聯網服務提供商和公司來說,甚至很難注意到政策違規,因為每個這樣的 TXT 記錄僅僅是惡意代碼的一個片段,這本身並不構成威脅。
最後一輪
多虧了定期啟動的腳本下載場景,罪犯可以更新惡意負載並在受害者的計算機上執行他們需要的任何操作。在我們分析的時候,他們對竊取加密貨幣感興趣。後門自動搜索受害者計算機中的 Exodus 或 Bitcoin 錢包,並用木馬版本替換它們的應用程序。受到感染的 Exodus 錢包竊取密鑰短語(seed phrase),而受到感染的 Bitcoin 錢包則竊取加密密鑰,該密鑰加密私鑰,允許攻擊者代表受害者簽署轉移。因此,通過「節省」幾十美元的破解應用程序,可能會在加密貨幣上損失更多的金額。
其他著名的加密貨幣黑客案例
在加密貨幣歷史上,最引人注目的案例之一是 2014 年 Mt. Gox 交易所的黑客事件,導致約 850,000 Bitcoin 被盜。這一事件突顯了加密貨幣交易所安全的重要性,並導致行業內更嚴格的安全措施。Mt. Gox 的黑客事件顯示,即使是最大的平臺也無法避免攻擊,而將加密貨幣存儲在安全錢包中的重要性不容低估。
另一個著名案例是 2016 年的 DAO(去中心化自治組織)黑客事件,當時由於智能合約中的漏洞,超過 5,000 萬美元的 Ether 被盜。這一案例突顯了與技術創新相關的風險,以及對智能合約代碼進行仔細審計的必要性。
如何保護自己的加密貨幣錢包免受攻擊
顯而易見的是:為了避免威脅,不成為罪犯的受害者,僅從官方應用商店下載應用程序。如果想從開發者的網站下載應用程序,請確保您在真實網站上,而不是眾多假網站之一。如果考慮下載破解版本的應用程序——再想想。「誠實可信」的盜版產品網站就像獨角獸和精靈一樣稀有。
還值得採取以下安全措施:
– 冷存儲。將加密貨幣存儲在未連接到互聯網的錢包中被認為是最安全的保護方法之一。冷錢包可以是硬件設備或紙質錢包。
– 雙重身份驗證(2FA):使用 2FA 訪問加密貨幣錢包和交易所大大提高了安全性,增加了額外的驗證層。
– 定期安全審計。定期對錢包和交易所進行安全審計和軟件更新有助於識別和解決漏洞。
– 教育與意識。了解基本的網絡安全原則,並了解當前威脅,有助於預防許多攻擊。
這些保護措施雖然不能保證完全安全,但大大減少了因黑客攻擊或詐騙而失去加密貨幣的風險。重要的是要記住,在加密貨幣的世界中,安全必須放在首位,每個用戶都有責任保護自己的投資。
日本電話卡推介 / 韓國電話卡推介
一㩒即做:香港網速測試 SpeedTest HK
