作者:山妖
背景
9月2日,慢雾安全团队发现疑似APT团伙在加密生态中针对NFT用户进行大规模钓鱼活动,发布《“零元购”NFT钓鱼分析》。
9月4日,推特用户PhantomX发推称,朝鲜APT组织对数十个ETH和SOL项目进行了大规模钓鱼活动。
该Twitter用户给出了196个钓鱼域名,经分析与朝鲜黑客有关。具体域名列表如下:
。
慢雾安全团队注意到该事件,并立即跟进深入分析:
由于朝鲜黑客针对加密货币行业的攻击模式是多样化的,我们所披露的只是冰山一角。由于一些保密要求,本文只分析了部分钓鱼材料,包括相关的钓鱼钱包地址。。这里将着重对NFT钓鱼进行分析。
钓鱼网站分析
经过深入分析,发现其中一种钓鱼方式是发布虚假NFT、恶意造币相关的诱饵网站。,这些NFT在OpenSea、X2Y2、Rarible等平台都有销售。APT为加密和NFT用户组织的网络钓鱼涉及近500个域名。
查询这些域名的注册信息,我们发现注册日期最早可以追溯到7个月前:
同时,我们还发现了一些朝鲜黑客常用的独特钓鱼特征:
特征一:钓鱼网站会记录访问者数据并保存到外部网站。黑客通过HTTPGET请求将网站访问者信息记录到外部域。虽然发送请求的域名不同,但是请求的API接口都是"/postaddr.PHP";一般格式是.[元蒙版].accesstime=xxxurl=evil.site";,其中参数mmAddr记录访问者的钱包地址,accessTime记录访问者的访问时间,url记录访问者当前访问的钓鱼网站的链接。
特征2:钓鱼网站会要求NFT项目价目表。通常,HTTP请求路径是"getPriceData.php":
。
特点三:有一个文件"imgSrc.js"将图像链接到目标项目,该项目包含目标站点的列表以及在其对应的网络钓鱼站点上使用的图像文件的托管位置。此文件可能是仿冒网站模板的一部分。
进一步分析表明,APT用来监控用户请求的主域名是"thedoodles.site",主要用于APT活动前期记录用户数据:
。
启用该域名的HTTPS证书是在7个月前,黑客组织已经开始攻击NFT用户。
最后,让';让我们看看黑客已经运行和部署了多少钓鱼网站:
例如,最新的网站伪装成世界杯主题:
。
根据相关HTTPS证书继续搜索相关网站主机信息:
在一些主机地址中发现了黑客使用的各种攻击脚本和统计受害者信息的txt文件。
这些文件记录了受害者';插入式钱包的访问记录、授权和使用:
可以发现,这些信息与钓鱼网站收集的访客数据是一致的。
它还包括受害者批准记录:
和签名数据sigData未在此显示,因为它们是敏感的。
此外,统计显示,NFT钓台群中,一个IP下有372个NFT钓台,主机相同:
在另一个IP下还有320个NFT捕鱼站:
甚至包括一个由朝鲜黑客操作的DeFi平台
由于篇幅有限,我赢了';这里不赘述。
钓鱼方法分析
结合前面《NFT零元购钓鱼》篇文章,我们分析了这次钓鱼事件的核心代码。。我们发现,黑客钓鱼涉及许多地址协议,如WETH,USDC,戴和UNI。
以下代码用于诱导受害者授权NFT、ERC20等常见钓鱼批准操作:
此外,黑客还会诱导受害者签署海港、许可证等。
以下是此签名的一个正常示例,除了它不是域名"opensea.io"在钓鱼网站里。
我们还发现黑客留下的签名数据与"海港"。
因为这种类型的签名请求数据可以是"脱机存储",黑客在获得大量受害者签名数据后,批量转移资产。
mistrack分析
分析钓鱼网站和方法后,,我们选择其中一个钓鱼地址(0xC0fd…e0ca)进行分析。
可以看到,这个地址已经被MistTrack标记为高风险钓鱼地址,而且交易次数相当多。渔民共收到1055份非粮款。
出售后获利近300ETH。
追根溯源,该地址的初始资金来自地址(0x2e0a…DA82)转出的4.97ETH。追根溯源,发现该地址与其他被MistTrack标记为风险的地址有过交互。,5.7ETH被转移到FixedFloat。
Let';s分析初始资金源地址(0x2e0a…DA82),目前收到6.5ETH左右。初始资金来自币安转让的1.433ETH。
同时,该地址还与多个风险地址交互。
总结
由于保密和隐私原因,本文只分析了部分NFT钓鱼资料,提取了部分朝鲜黑客的钓鱼特征。当然,这只是冰山一角。慢雾建议用户加强对安全知识的了解。进一步加强识别网络钓鱼攻击和避免此类攻击的能力。更多安全知识请阅读慢雾出品《区块链黑暗森林自救手册》
Ps。感谢hip和ScamSniffer提供的支持。
