TOR:慢雾：分析某流行企业财务软件 0day 漏洞大规模勒索 BTC 的恶意地址_INO

链捕手消息，根据慢雾区情报，某流行企业财务软件面积中勒索病，该病会向受害者索要0.2BTC的赎金，勒索地址为bc1q22xcf2667tjq9ug0fgsmxmfm2kmz32lwtn4m7v。慢雾对勒索地址进行分析发现：

慢雾：疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息，慢雾监测显示，疑似加密交易所Gemini相关地址（0xea3ec2a08fee18ff4798c2d4725ded433d94151d）已在过去5小时内归集并转出逾20万枚ETH（超3亿美元）。[2022/7/19 2:22:08]

1/截止目前，共有2个用户支付了赎金0.2BTC和0.1BTC，分别从币安和Gate.io提款支付赎金。

慢雾：iCloud 用戶的MetaMask钱包遭遇钓鱼攻击是由于自身的安全意识不足:据官方消息，慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析，首先用户遭遇了钓鱼攻击，是由于自身的安全意识不足，泄露了iCloud账号密码，用户应当承担大部分的责任。但是从钱包产品设计的角度上分析，MetaMask iOS App 端本身就存在有安全缺陷。

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 来禁止应用程序被用户和系统进行备份，从而避免备份的数据在其他设备上被恢复。

MetaMask iOS端代码中没有发现存在这类禁止钱包数据(如 KeyStore 文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据，当iCloud账号密码等权限信息被恶意攻击者获取，攻击者可以从目标 iCloud 里恢复 MetaMask iOS App 钱包的相关数据。

慢雾安全团队经过实测通过 iCloud 恢复数据后再打开 MetaMask 钱包，还需要输入验证钱包的密码，如果密码的复杂度较低就会存在被破解的可能。[2022/4/18 14:31:38]

2/收到勒索资金后，黑客当天就开始转移资金，其中0.2BTC被转移，其中部分资金转移到币安、恶意地址3CCV3和疑似恶意地址37jAA；截止目前，约剩余0.2BTC还分散在不同的地址，没有进一步转移。

分析 | 慢雾：攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析，从DragonEx公布的“攻击者地址”的分析来看，20 个币种都被盗取（但还有一些DragonEx可交易的知名币种并没被公布），从链上行为来看攻击这些币种的攻击手法并不完全相同，攻击持续的时间至少有1天，但能造成这种大面积盗取结果的，至少可以推论出：攻击者拿下了DragonEx尽可能多的权限，更多细节请留意后续披露。[2019/3/26]

3/通过情报关联我们发现，恶意地址3CCV3同样接收了来自Glupteba僵尸网络恶意地址bc1qhj的资金；根据bitcoinwhoswho报告，恶意地址3CCV3为项目名为BTCGlobal的庞氏局地址；疑似恶意地址37jAA同样与用户被钓鱼事件有关。

标签：TORETAAMAINOStormSwapmetamask下载安装metamask小狐狸钱包安卓版官网Chibi Dinos

ADA热门资讯