close

關鍵詞



加密錢包


安全研究人員發現了一項大規模惡意操作,該操作使用木馬化的移動加密貨幣錢包應用程序用於 Coinbase、MetaMask、TokenPocket 和 imToken 服務。

惡意活動已於今年 3 月初被發現。Confiant 的研究人員將此活動集群命名為 SeaFlower,並將其描述為「針對 web3 用戶的技術最複雜的威脅,就在臭名昭著的 Lazarus Group 之後」。

在最近的一份報告中,Confiant 指出,惡意加密貨幣應用程序與真實應用程序相同,但它們帶有一個後門,可以竊取用戶訪問數字資產的安全短語。

應用分發
SeaFlower 操作的第一步是將木馬化的應用程序傳播給儘可能多的用戶。攻擊者通過克隆合法網站、SEO 中毒和黑色 SEO 技術來實現這一目標。


也有可能在社交媒體渠道、論壇和惡意廣告上推廣應用程序,但 Confiant 觀察到的主要分發渠道是搜索服務。

研究人員發現,百度引擎的搜索結果受 SeaFlower 操作的影響最大,將大量流量引導至惡意網站。

在 iOS 上,這些網站濫用配置文件在設備上加載惡意應用程序以繞過安全保護。

供應配置文件用於將開發人員和設備與授權的開發團隊聯繫起來。它們允許使用設備測試應用程序代碼,使其成為將惡意應用程序添加到設備的強大方法。

後門應用
Confiant 分析師對這些應用程序進行了逆向工程,以找出 SeaFlower 的作者是如何植入後門的,並在所有這些應用程序中發現了相似的代碼。


對於 iOS 上的 MetaMask 應用程序,後門代碼在生成種子短語並以加密形式存儲之前被激活。這意味着威脅參與者在創建新錢包或將現有錢包添加到新安裝的應用程序時會攔截密碼短語。


END


閱讀推薦







【安全圈】華為雲帶崩同花順等一眾應用一同上熱搜,工行系統疑似崩潰









安全圈

←掃碼關注我們

網羅圈內熱點 專注網絡安全

實時資訊一手掌握!


好看你就分享 有用就點個讚

支持「安全圈」就點個三連吧!

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()