3.2 警惕恶意聊天软件!聊天记录被劫持损失数千万资产追踪分析
事件背景
近期,零时科技安全团队收到大量用户因为同一个原因导致加密资产被盗的情况,经调查都是因为过程中使用了恶意Whatsapp的原因,通过与受害者沟通,了解到情况如下:
受害者在使用恶意Whatsapp进行沟通时,发送钱包地址到聊天软件中,对方直接复制钱包地址进行转账,但是此时复制的钱包地址已经被聊天软件Whatsapp恶意替换,导致将加密资产转账到错误地址。然后在用户使用恶意WhatsApp聊天时,替换用户输入或者接收的正确加密货币地址。
2022年12月6日,因为使用恶意WhatsApp导致被盗8万多美金;
2022年11月21日,因为使用恶意Whatsapp导致被盗140多万美金;
2022年10月6日,因为使用恶意WhatsApp导致被盗1.3万多美金;
其他......
恶意软件分析及反制
通过与受害者沟通,其使用的Android手机,并且都是从百度搜索WhatsApp软件后,直接从第三方网站下载软件,安装。
下载地址如下:
通过沟通此事件的前因后果,我们怀疑是受害者安装的WhatsApp有问题,于是为了还原事件,我们获取到事发时的恶意WhatsApp安装包展开分析。
首先恶意WhatsApp软件的安装包的大小与WhatsApp官网下载的大小不一致:
而且通过查看两个软件的签名消息,可以看出签名时间和签名主体消息也是明显不一致:
通过安全工具扫描此恶意软件,发现确实存在问题,被标记为存在恶意木马:
然后通过反编译恶意软件后,发现了恶意软件中存在替换用户聊天消息中的加密货币地址的功能,并且通过远程服务器进行通信,定期更改替换的黑客地址,分析过程如下:
首先我们找到了恶意软件跟黑客控制的后台服务器域名:
然后通过审计恶意软件代码,发现恶意软件从黑客控制的服务器上获取了加密货币地址,然后在用户使用恶意WhatsApp聊天时,替换调用户输入或者接收的正确加密货币地址。
我们来看看替换用户聊天时输入的地址消息过程,代码如下:
同上面的FindSendAddress函数可以看出:
第一步,先匹配用户输入的聊天消息中是否存在trx或者eth地址;
第二步,通过GetCurrentAddress函数获取地址;
进行跟进GetCurrentAddress函数的内容如下:
通过对恶意站点的/api/index/get_ws接口获取黑客控制的地址。
返回地址是通过加密的,通过app中的加密密钥,可以直接使用AES算法解密黑客的地址,以ETH地址为例,解密如下:
第三步,通过replaceBytes函数替换用户输入的地址为黑客控制的恶意地址。
通过测试发现通过恶意域名的/api/index/get_ws接口获取的恶意地址会不定期变化,目前获取的地址已经更新,不是受害者转账时的地址,目前获取的新地址0xf02FFBC0114562E30447c21f8273d8667Ab4eB3B还没有收到受害者的资金。
截至目前,此恶意接口/api/index/get_ws还在正常运行,还会导致更多受害者损失。
损失资金追踪分析
零时科技安全团队接到受害者的协助请求后,第一时间分析并监控了黑客相关地址。
其中140万美金被盗资金,进入黑客地址0xa160......9a41,在几小时后,黑客将资金转移到地址0x570C......BdDb,然后通过多笔分散转移两个地址,最后汇集到0x8785......8885地址,如下图:
通过分析发现,黑客地址0xa160......9a41的手续费来自Binance交易平台,转移后的地址0x570C......BdDb手续费来自mexc.com交易平台。
另外一个8万美金被盗资金,进入黑客地址0x319c......8486,0xad8......95b9,然后通过多笔分散转移,最后汇集到Binance 交易平台,通过分析发现,黑客地址的交易手续费也来自Binance交易平台,如下图:
零时科技安全团队会继续关注此恶意聊天软件的扩散,以及监控相关黑客钱包地址的资金转移动态,及时提供情报预警,防止更多用户资产被盗。
总结建议
本次案例是由于受害者下载恶意的WhatsApp聊天软件,导致转账目标地址被篡改,损失大量资金,类似的案例还有很多,例如通过恶意假交易平台、假钱包、假Telegram等。
零时科技安全团队收到大量用户资产损失协助的请求,发现通过社交软件等恶意软件进行转账地址拦截修改的情况越来越多,为避免造成资金损失,在此,再次建议:
第一,下载使用 APP 时还是需要多方确认,认准官方下载渠道,检查签名一致性;
第二,大额转账时分多次进行,先小额确认到账情况,再继续转账;
第三,转账时多次确认转账地址,包括地址正确性检查,尽量检查每一位字符。
事件背景
2022年11月23日,分布式资本创始人沈波发推文称,价值4200万美元的个人钱包资产被盗,其中包含 3800 万枚 USDC和1606 枚 ETH,在纽约时间 11 月 10 日凌晨被盗。被盗资产为个人资金,与分布式相关基金无关。目前已当地报案,FBI 与律师均已介入。
零时科技安全团队监控到此消息后,及时进行追踪分析。
注:沈波先生为以太坊早期投资人及以太坊早期布道者。分布式资本成立于 2015 年,是中国首家专注于投资区块链技术相关企业的风险投资企业。
事件分析
本次安全事件的受害者沈波先生的钱包地址为:
0x6be85603322df6DC66163eF5f82A9c6ffBC5e894
攻击者钱包地址为:
0x24b93eed37e6ffe948a9bdf365d750b52adcbc2e
被盗的38,233,180 枚USDC通过transfer函数直接转出,交易hash为:
0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7
被盗的1606 枚ETH交易hash为:
0xbc9ce2f860ee2af834662782d30452a97eb3654ecaf9c4d00291d1233912a3f5
随后攻击者将38,233,180 枚USDC兑换为DAI,交易hash为:
0x04c43669c930a82f9f6fb31757c722e2c9cb4305eaa16baafce378aa1c09e98e
将兑换的38,100,000枚DAI发送到了另一个地址,暂未转移,地址如下:
0x66f62574ab04989737228d18c3624f7fc1edae14
通过分析,发现接收DAI的地址0x66f62574ab04989737228d18c3624f7fc1edae14收到一笔来自0x077d360f11d220e4d5d831430c81c26c9be7c4a4地址的0.1594个ETH手续费,而且通过零时科技虚拟币追溯分析平台标记0x077d360f11d220e4d5d831430c81c26c9be7c4a4为ChangeNow兑换平台地址,是攻击者用来掩盖交易痕迹的行为。
目前38,100,000枚DAI和1606枚ETH还在攻击者地址未转移,零时科技安全团队已经加入监控列表,持续跟踪资产转移动态。
总结建议
首先此次资产被盗事件是通过受害者钱包直接转移,所以疑似钱包私钥泄漏,然后攻击者及时将USDC兑换成DAI,目前暂时无法通过中心化机构进行冻结此笔资产。
接下来针对此次事件的资产追踪可做的工作如下:
第一、通过ChangeNow平台获取攻击者兑换ETH手续费的钱包地址进行溯源找到线索;
第二、同步实时监控攻击者地址的资产转移进行追踪;
第三、通过链上交易与攻击者取得联系;
零时科技安全团队会继续跟踪此次事件,也再次呼吁大家保管好自己私钥,提高安全意识,注意钱包和资产安全,有任何资产丢失的情况,第一时间与我们取得联系。
注:行业其他经典攻击案例详细分析,请关注零时科技公众号查看。
Nomad 跨链桥被盗1.8亿美元事件分析建议
天价美元损失案Harmony事件分析
Beanstalk Farms4.5亿人民币攻击事件分析
Web3因其巨大的创新能力和开源优势成为蓬勃发展的新一代网络基础设施,为整个互联网世界带来更加可信,可传递价值的生态系统。尽管Web3行业安全事件不断,黑客和犯罪分子各种手法层出不穷,但这并不能阻碍Web3行业的健康发展。
相反,如同对弈的双方,Web3世界的“白帽子”,像我们零时科技一样的安全机构,一定会为这一繁茂的生态保驾护航,守护新世界用户的资产,与黑客斗智斗勇,为建立起更加完善的机制、更强的技术系统、更加安全交易而不断努力。
漏洞常在,安全无价,发展与安全的博弈不会停止,但愿我们都能为自己装上一个安全盾,来应对这未来复杂的技术世界!
本报告版权为零时科技所有,报告内容基于零时科技安全团队对零时数据库和网络公开数据及信息的挖掘和分析,由于区块链具有匿名性特征,虽零时安全团队认为报告中所引用数据具有可靠性,但我们仍无法保证本报告中所有数据的完整性、准确性和真实性。由于研究方法、数据来源、研究视角的不同,本报告中所得结论可能与市场存在一定偏差。
本报告中的内容仅供参考,报告中的数据、结论和观点不应作为相关数字资产等任何类型的投资建议,读者应具有独立的判断能力,不应根据本报告作出相应的投资决策。由于使用该报告对任何企业或个人造成的损失,均不由零时科技承担。
本报告所涉及的项目及第三方,对本报告的客观性和独立性不造成任何影响。
本报告中信息具有时效性,所载数据、资料及观点仅限于定稿日前。
本报告的目的旨在帮助用户了解Web3安全现状,提高网络安全意识,进而降低用户直接或间接可能面临的风险。限于各种局限因素,内容恐有疏漏,烦请各位读者不吝指正。
2292440