譯者:知道創宇安全服務團隊、404區塊鏈安全團隊
[PDF版本下載]
介紹
當談到加密貨幣時,會聯想到加密貨幣巨大的價格波動,交易違約、贖金勒索的情況以及許多不同種類的貨幣。虛擬貨幣自興起以來,就一直受到罪犯無情地攻擊,許多人都希望能從中獲取利益。在此威脅報告中,我們將重點關注Ethereum,也稱為“以太”,以及它與名為MyEtherWallet(MEW)的在線服務的關係,該服務是網絡釣魚自動傳輸系統(ATS)MEWKit的目標。
MEWkit的突出之處在於它遠不止傳統的網絡釣魚套件那樣,除了是一個以竊取憑證為目的的模仿MyEtherWallet前端的網站以外,它也是一個客戶端 ,可以處理釣魚頁面捕獲的付款細節以轉出資金,將資金從釣魚受害者以太坊錢包直接寄給攻擊者控制的錢包。
本報告詳細闡述了MEWKit功能,背景以及過去和現在的一系列行為活動,並對2018年4月24日發生的一件重大事件作一些說明。那就是在亞馬遜DNS服務器上執行邊界網關協議(BGP)劫持攻擊,將用戶從官方的MyEtherWallet網站重新路由到運行MEWKit的主機。
理解犯罪:理解目標
MyEtherWallet不像其他加密貨幣交易所和交易平台,它沒有內部賬戶。一個典型的交易所像銀行一樣運作 ,用戶通過創建一個賬戶來實現資金轉入和轉出。 通過這種方式,交易所就有了添加了增加了額外安全措施的用戶錢包的關鍵詞。 這些銀行和交易所也能夠執行分析以查看什麼設備正在用於登錄,並知道從那裡登錄。
另一方面,MyEtherWallet取消了用戶擁有賬戶的中間步驟,並為用戶提供了一個錢包允許他們直接與以太坊網絡進行互動。 這種訪問使MyEtherWallet變得非常透明,但沒有大多數銀行和交易所的附加安全層面也造成一些重大風險問題,並使其成為攻擊的主要目標。
一旦MEWKit受害者認為他們正在與官方互動,釣魚攻擊就成功了。MyEtherWallet網站的資金可直接轉給攻擊者。 因此,我們說MEWKit是專門為MyEtherWallet製作的網絡釣魚ATS。
MEWKit 技術分析
MEWKit由兩部分組成:一個模仿MyEtherWallet站點的釣魚頁面和一個處理日誌的服務器端,攻擊者一旦進行網絡釣魚就會將受害者的錢包裡面的資金轉移至攻擊者指定的地點。 典型的釣魚網頁通常會重定向到網站的合法版本,這樣受害者可以再次登錄,MEWKit只是通過受害者的瀏覽器,使用MyEtherWallet對以太坊的獨特訪問權限,在後台進行交易。
MEWKit被其開發者稱為自動傳輸系統,因為它捕捉到的任何釣魚信息都會立即用於從受害者的錢包中轉移資金。ATS惡意軟件運營的概念來源於它的惡意軟件操作,它將腳本注入金融網站上的活動網絡會話中,以便將資金從受害者賬戶中轉出,並在被感染的電腦上利用受害者登陸的賬戶在短時間內無形地自動完成轉帳。
一旦用戶登錄,MEWKit就會檢查他們的錢包餘額並從服務器端請求接收者地址。然後將攻擊者的擁有的錢包設置為接收者地址,利用正常的MyEtherWallet功能轉移受害者的全部餘額。
MEWKit 釣魚頁面
由於MyEtherWallet完全在客戶端運行,並且可以脫機運行,因此攻擊者可以下載手動構建它,這正是MEWKit的開發者所做的。MyEtherWallet源代碼可以從GitHub下載:https://github.com/kvhnuke/etherwallet
MEWKit是由一個添加多個腳本的MyEtherWallet組成。 它在頁面中嵌入了兩個額外的JavaScript資源文件,通常命名為:sm.js和wallet.js 。它們都從合法的MyEtherWallet腳本文件路徑相同的目錄中加載。
wallet.js – Configuration
該腳本充當MEWKit其餘部分的配置文件。 它有兩個選項來設置:
js_stat
這個變量是包含後端地址的字符串,開發者稱其為’admin面板’ ,此變量的值用於獲取轉帳資金的接收地址和發送頁面上發生的所有事件的日誌。
user_in_page
雖然變量名稱有些模糊,但它只是用來標記啟用或關閉日誌記錄的, 1表示啟用日誌記錄,0表示無日誌記錄。
sm.js – Core
該腳本包含MEWKit的功能部分,並掛接到MyEtherWallet的源代碼中。該腳本頂部包含一組全局變量:
____pwd
包含受害者的錢包中的助記符短語或密碼/密鑰庫JSON文件內容。
ikey
目前尚未在我們觀察到的任何MEWKit版本中使用。它會在所有的回調中發送到後端,但是除了初始值“none”以外,沒有被設置其他值。
txt_ua
包含受害者的用戶代理,並調用navigator.userAgent
send_block_flg
包含一個二進制0或1標誌。一旦受害者解密他們的錢包,ATS就會將send_block_flg設置為0並開始將可用餘額轉賬。標誌位為1的話,不會啟動任何交易而且會阻止任何正進行的交易。
balance
一旦用戶登錄到MEWKit釣魚網站,將顯用戶錢包中的可用餘額頁面。
eth_recipient
包含攻擊者控制的用來轉移盜取資金的接收地址。
balance_block_flg
包含一個二進制0或1標誌。一旦受害者解密他們的錢包,ATS就會將balance_block_flg設置為0,開始檢查受害者錢包中的可用餘額。
count_flg
包含一個二進制0或1標誌。標誌設置為1,會觸發假倒計時MEWKit頁面。當MEWKit開始獲取錢包憑證的時候開始轉移可用餘額。
在這些全局變量之後,該腳本包含一組用於進行釣魚和自動化資金轉賬的功能。我們不會具體解釋每一個功能,但我們會顯示套件的執行流程。
MEWKit 掛鈎在 MyEtherWallet 源碼中
MEWKit掛鈎了MyEtherWallet的正常功能,我們將逐個瀏覽它所放置的鉤子。MEWKit首次出現在MyEtherWallet源碼中主頁的<header>部分。 已經添加了兩個MEWKit腳本和一個jQuery腳本:
转载请注明:IAMCOOL » MEWKit: Cryptotheft 的最新武器