原创 慢雾安全团队 慢雾科技
背景
2024年7月25日,知名去中心化交易平台MonoSwap (@monoswapio) 在推特上发出警告,称其平台遭黑客攻击。MonoSwap呼吁用户暂停向其流动池添加资金或在其农场池进行质押,并解释此次攻击是由于事发前一日,一名MonoSwap开发人员在接受假冒风险投资公司(VC)的会议邀请时安装了木马软件(https://kakaocall.kr),黑客借此入侵开发人员的电脑,从而控制相关的钱包和合约,然后大量提取质押资金,造成严重损失。
事件关联
同日,慢雾安全团队发现@OurTinTinLand 关于空投的AMA(Ask Me Anything)活动的置顶推文中含有上述提到的钓鱼链接。在慢雾安全团队的帮助下,TinTinLand 及时解决了账号被盗问题,并对推特账号进行了授权审查和安全加固。
事件分析
虽然钓鱼域名 kakaocall.kr 已被关闭,无法查看恶意软件信息,但是我们通过互联网快照关联到了另一个相似钓鱼域名 kakaocall.com。通过历史网页快照对比 kakaocall.com 和 kakaocall.kr 的代码,发现完全一致,因此可以认为这是同一团伙所为。其中 kakaocall.com 的恶意软件地址链接指向 https://taxupay.com/process.php 和 https://www.dropbox.com/scl/fi/ysnjinmlpcpdxel050mmb/KakaoCall.exe?rlkey=drj8bfnd0zzvmcocexz93b6ky&st=28in0iw3&dl=1。
随后,慢雾安全团队通过深度溯源,又发现多起相同手法的钓鱼诈骗事件。2024年6月26日,推特用户Metadon (@metadonprofits) 发文讲述了骗子的诈骗过程。骗子 @DeusExUnicusDms 冒充 @NibiruChain 的公司代表私信了他,并通过在 Telegram 上创建群聊,添加假冒的 Web3 公司创始人增加可信度。接着,骗子诱导受害者在 KakaoTalk(一款官方的韩国即时通讯应用)上进行视频通话。由于受害者没有该应用,骗子发送了一个链接,声称是下载该应用的官方链接,实际上却是一个伪装成安装包的钓鱼链接。
结论
此次事件再次凸显了网络安全的重要性,尤其是在 Web3 领域,开发者和用户都必须保持高度警惕。钓鱼攻击的手段不断进化,从最初的简单邮件到如今的复杂社交工程,防范措施也必须随之升级。慢雾安全团队建议,所有用户应定期更新安全软件,警惕未知链接和文件,特别是来自官方渠道的邀请或消息。此外,开发者应加强账户安全措施,包括使用双重认证、定期更改密码和进行安全审查。
参考文献
- MonoSwap 官方声明: https://x.com/monoswapio/status/1816151998267547851
- TinTinLand 安全声明: https://x.com/OurTinTinLand/status/1816358544402444462
- Metadon 推文: https://x.com/metadonprofits/status/1816458544402444462
通过深入剖析此次网络钓鱼事件,我们可以更好地理解骗子的策略和手法,从而为未来的网络安全提供宝贵的教训和建议。
Views: 0