黑客克隆Coinbase移动钱包来窃取你的加密货币

安全研究人员发现了一项大规模恶意操作，该操作使用木马化的移动加密货币钱包应用程序用于 Coinbase、MetaMask、TokenPocket 和 imToken 服务。

恶意活动已于今年 3 月初被发现。Confiant 的研究人员将此活动集群命名为 SeaFlower，并将其描述为“针对 web3 用户的技术最复杂的威胁，就在臭名昭著的 Lazarus Group 之后”。

在最近的一份报告中，Confiant 指出，恶意加密货币应用程序与真实应用程序相同，但它们带有一个后门，可以窃取用户访问数字资产的安全短语。

应用分发

SeaFlower 操作的第一步是将木马化的应用程序传播给尽可能多的用户。攻击者通过克隆合法网站、SEO 中毒和黑色 SEO 技术来实现这一目标。

也有可能在社交媒体渠道、论坛和恶意广告上推广应用程序，但 Confiant 观察到的主要分发渠道是搜索服务。

研究人员发现，百度引擎的搜索结果受 SeaFlower 操作的影响最大，将大量流量引导至恶意网站。

在 iOS 上，这些网站滥用配置文件在设备上加载恶意应用程序以绕过安全保护。

供应配置文件用于将开发人员和设备与授权的开发团队联系起来。它们允许使用设备测试应用程序代码，使其成为将恶意应用程序添加到设备的强大方法。

后门应用

Confiant 分析师对这些应用程序进行了逆向工程，以找出 SeaFlower 的作者是如何植入后门的，并在所有这些应用程序中发现了相似的代码。

对于 iOS 上的 MetaMask 应用程序，后门代码在生成种子短语并以加密形式存储之前被激活。这意味着威胁参与者在创建新钱包或将现有钱包添加到新安装的应用程序时会拦截密码短语。