詐騙碟中諜,Water Labbu利用其他攻擊者的惡意DApp竊取加密貨幣
Dapp (去中心化應用程序)是一種在網絡上公開運行的軟件應用程序,他們與普通的應用程序沒有什么區別,都擁有一樣的功能,但不同的是Dapp是在P2P網絡上運行。這意味著,Dapp是一種全新的去中心化方式,它還同時整合了加密貨幣。
DAPP與APP區別主要有:一是APP在安卓或蘋果系統上安裝并運行;DAPP在區塊鏈公鏈上開發并結合智能合約;二是APP信息存儲在數據服務平臺,可以運營方直接修改;DAPP數據加密后存儲在區塊鏈,難以篡改。
趨勢科技的研究人員最近發現了一個名為Water Labbu的攻擊組織,其攻擊目標是加密貨幣詐騙網站。通常,加密貨幣詐騙者使用社會工程技術,與受害者互動以獲得他們的信任,然后操縱他們提供轉讓加密貨幣資產所需的權限。雖然Water Labbu也是通過類似的方法從受害者錢包中獲得訪問許可權限來竊取加密貨幣,但與其他類似活動不同,他們沒有使用任何類型的社會工程,至少沒有直接使用。取而代之的是,Water Labbu是借用其他詐騙者的社會工程活動,進而騙取毫無戒心的受害者。
通過這種寄生的方式,攻擊者潛入了其他偽裝成DApp的詐騙者的網站,并向其注入惡意JavaScript代碼。
當攻擊者發現一個受害者的錢包中存儲了大量加密貨幣,且該錢包連接到其中一個欺詐網站時,注入的JavaScript負載將發送一個權限請求。該請求被偽裝成從一個受攻擊的網站發送,并請求允許從目標的錢包轉移幾乎無限數量的USD Tether (USDT,這是一種與美元掛鉤,價值為1:1的穩定幣)。
Water Labbu的目標相信該請求最初是由DApp發出的,這可能會導致他們忽視對許可證細節的徹底審查。然而,授予的權限不屬于原詐騙者的加密地址,而是屬于Water Labbu控制的另一個地址。然后,攻擊者可以使用獲得的許可從受害者錢包中取出所有USDT資金。
Water Labbu攻擊流程
截至發文之時,研究人員已經發現45個與加密貨幣相關的DApp網站已被Water Labbu破解。這些網站的風格和主題與無損挖礦(lossless mining)項目詐騙中使用的網站相似。
在檢查以太坊區塊鏈上攻擊者地址的交易記錄后,研究人員發現他們已成功從至少九名不同的受害者那里盜取資金,總金額至少為316728USDT。
接下來,我們將介紹攻擊者如何使用注入的JavaScript代碼從欺詐性DApp網站劫持加密貨幣。
被泄露的欺詐DApp網站截圖
分析加密貨幣盜竊程序
如上所述,Water Labbu的方法包括攻擊詐騙DApp網站并將其JavaScript負載注入其中。DApp網站似乎是通過某種形式的自定義模板設計的,在這種模板中,通過向給定URL發送HTTP請求,以JSON格式接收公告框中顯示的消息。請求的內容顯示了一個JSON對象,該對象具有一個包含幾個嵌入項的“helper”項。第一項顯然是注入的,它包含base64編碼腳本的求值。
詐騙DApp網站公告框的可視化示例
以JSON格式顯示接收的數據
在研究人員分析的其中一個示例中,Water Labbu注入了一個IMG標簽,使用“onerror”事件加載Base64編碼的JavaScript負載,這就是所謂的XSS規避技術,以繞過跨站點腳本(XSS)過濾器。然后,注入的有效負載創建另一個腳本元素,該元素從發送服務器tmpmeta[.]com加載另一腳本。然后,發送服務器根據IP地址和瀏覽器User-Agent標頭(用于幫助確定受害者的環境)過濾受害者并發送不同的內容。
研究人員注意到以下行為:
1.如果受害者從使用Android或iOS的移動設備加載腳本,則會返回具有加密貨幣盜竊功能的第一階段腳本。
2.如果受害者從運行Windows的桌面加載腳本,則會返回另一個腳本,該腳本顯示一條虛假的Flash更新消息,要求受害者下載惡意的可執行文件。
值得一提的是,發送服務器實現了一種機制,以避免在短時間內從同一IP地址多次加載腳本。如果在過去幾小時內訪問了傳遞服務器的IP地址或受害者使用的設備類型不符合其他必要條件,它將返回一個簡單的竊取腳本,該腳本將收集cookie和LocalStorage數據并將它們發送回傳遞服務器
收集cookie和LocalStorage數據的Stealer腳本
加密貨幣竊取腳本:第一階段
最初,加載web3.js庫。這為第一階段腳本提供了連接到受害者錢包的能力,盡管只有當受害者的錢包連接到被攻擊的DApp網站時,惡意腳本才會與受害者錢包通信。通過訪問錢包,Water Labbu可以收集目標的以太坊地址和余額。該腳本還與Tether USD智能合約交互,以接收受害者的USDT余額。如果錢包的ETH數大于0.001或USDT數大于1,它將通過HTTP請求將錢包余額信息和錢包地址發送到信息收集服務器linkstometa[.]com。
以下文本顯示了提取錢包余額的請求:
用于收集錢包余額和默認錢包地址的腳本(去模糊化)
加密貨幣竊取腳本:第二階段
一旦報告的余額中ETH余額高于0.005 ETH且USDT令牌余額高于22000 USDT,導出請求將返回第二階段腳本。否則,它將返回一個空有效負載,并將受害者留給其他詐騙者。在第二階段腳本中,執行第三個余額檢查并請求令牌限額批準。
負責顯示令牌允許批準的腳本
令牌批準請求要求受害者授予對給定地址的許可,以完成交易并使用加密貨幣資產。惡意腳本請求10^32 USDT的批準限制,這遠遠超過區塊鏈上可用的USDT代幣總數。當發出“批準”請求時,加密貨幣錢包應用程序將要求用戶在確認前查看請求的詳細信息。如果受害者沒有仔細檢查請求詳細信息并授予Water Labbu地址的權限,那么攻擊者將能夠從受害者的錢包中轉移所有USDT。
加密貨幣錢包惡意許可請求的審查提示
區塊鏈交易分析
在對Water Labbu的運營進行監控期間,研究人員注意到有兩個地址被反復用于接收授予的權限和轉移受害者的加密貨幣資產。
地址0xd6ed30a5ecdeaca58f9abf8a0d76e193e1b7818a是第一個從受害者那里接收令牌批準的地址。截至2022年8月,該地址已成功使用“Transfer From”方法7次從不同地址收取USDT,這些可能屬于該組織的受害者。然后,資金轉移到第二個地址0x3e9f1d6e244d773360dce4ca88ab3c054f502d51。第二個位置有兩個事務,將被盜的USDT轉移到其他兩個地址:0x486d08f635b90196e5793725176d9f7ead155fed和0xfc74d6cfdf6da90ae996c999e12002090bc6d5bf。
地址0xfece995f99549011a88bbb8980bbedd8fada5a35是我們在Water Labbu的腳本中從2022年6月發現的一個更新的地址。這個地址成功地從兩個地址中提取了USDT,在Uniswap加密貨幣交易所交換它們,首先是美元硬幣(USDC),然后是ETH。最后將ETH資金發送到TTornado Cash混合器。
截至2022年8月,Water Labbu從9名受害者身上排放的USDT總額達316728 USDT。
顯示被盜USDT交易的圖表
虛假Flash感染鏈分析
當目標使用Windows桌面訪問受攻擊的DApp網站時,發送服務器tmpmeta[.]com將返回一個不同的腳本,該腳本將嘗試竊取cookie和LocalStorage數據。它還從其他發送服務器(如whg7[.]cc和r8s[.]cc)加載其他腳本。發送服務器r8s[.]cc返回了最新的階段腳本,在受攻擊網站上創建了虛假的Flash安裝消息覆蓋。該消息用簡體中文表示,Flash Player支持已于2020年9月14日終止,需要下載最新版本才能繼續瀏覽頁面。
Windows桌面系統上的腳本加載順序
虛假Flash Player安裝信息被覆蓋在被攻擊的網站上
可從GitHub存儲庫“flashtech9/Flash”下載的文件列表
總結
Water Labbu通過將其惡意腳本注入其他詐騙者的欺詐網站,成功竊取加密貨幣資金,這表明其愿意利用其他惡意攻擊者的方法達到自己的目的。
用戶應注意來自不受信任方的任何投資邀請。此外,他們不應在任何未知平臺上交易加密貨幣。
