执法部门冻结了超过4100万欧元(约4700万美元)的犯罪加密货币,作为“终局行动”的一部分,欧洲刑警组织周三宣布。这项为期两周的多国行动摧毁了三种恶意软件家族——SocGholish、Amadey 和 StealC——背后的基础设施,这些恶意软件窃取密码和加密钱包数据以实施欺诈和勒索软件攻击。此次行动针对的是网络犯罪即服务平台,这些平台通过从受感染系统中窃取凭证和私钥来悄悄清空加密钱包。
恶意软件家族瞄准加密钱包凭证
这三种恶意软件家族通过不同的攻击途径专门针对加密用户。StealC 是一种自2023年以来以服务形式出售的信息窃取器,它从受感染机器中窃取密码、浏览器 cookie 和加密钱包数据。Proofpoint 的研究人员发现其控制面板包含一个试图解密受害者 MetaMask 钱包种子短语的插件。
Amadey 建立初始系统访问权限并部署其他恶意软件。SocGholish 与俄罗斯组织 Evil Corp 有关联,通过被入侵网站上的虚假浏览器更新提示感染用户。恶意软件链最终导致钱包被清空、账户被接管以及勒索软件的部署。
信息窃取器通过从受害者设备中提取钱包文件、私钥和种子短语,已成为被盗加密货币的主要途径。攻击途径包括虚假 AI 工具、Steam 壁纸和盗版游戏修改。
警方拆除326台服务器并恢复2700万条凭证
此次行动摧毁了326台服务器和142个域名。警方从超过38.5万个受感染系统中恢复了近2700万条被盗凭证,并清理了近1.5万个被感染的网站,其中许多属于小企业。
作为行动合作伙伴的微软表示,仅5月的前两周,Amadey 和 StealC 就与全球超过14万台受感染计算机有关。去年晚些时候的一次“终局行动”早期行动发现了超过10万个从受害者处被盗但尚未被清空的加密钱包的登录数据。
微软对恶意软件运营者提起RICO诉讼
微软数字犯罪部门提起了一项美国诈骗诉讼,将这两种恶意软件家族视为同一犯罪阴谋。调查人员使用包括 Copilot 在内的 AI 工具分析恶意软件,发现 Amadey 和 StealC 尽管由不同的犯罪分子构建,但运行在共享的基础设施上。
这一法律行动使微软能够根据 RICO Act 起诉这两项行动中的支持者,并破坏了超过200台命令与控制服务器。该公司已识别出超过1.8万台受害计算机,并开始切断攻击者的控制。
受害者警报通过 Have I Been Pwned 服务传递
欧洲刑警组织及其合作伙伴通过 Have I Been Pwned 等服务传递受害者警报,允许用户检查自己的凭证和加密钱包密钥是否落入犯罪分子手中。StealC 运营者本月还发布了新的恶意软件构建。
常见问题解答
欧洲刑警组织周三就“终局行动”宣布了什么?
欧洲刑警组织宣布,在一次为期两周的多国行动中,执法部门冻结了超过4100万欧元(4700万美元)的犯罪加密货币,并摧毁了三种恶意软件家族——SocGholish、Amadey 和 StealC——背后的基础设施。
在“终局行动”取缔中,警方恢复了多少台服务器和凭证?
警方在此次行动中摧毁了326台服务器和142个域名,从超过38.5万个受感染系统中恢复了近2700万条被盗凭证,并清理了近1.5万个被感染的网站。
