StepDrainer 耗尽超过 20 个网络的加密钱包

一种名为 StepDrainer 的加密货币窃取工具正在从以太坊、BNB Chain、Arbitrum、Polygon 和至少 17 个其他网络的钱包中窃取资金。

StepDrainer 作为恶意软件即服务工具包运行。它使用虚假但真实的 Web3 钱包弹出窗口来欺骗人们批准转账。其中一些屏幕看起来像 Web3Modal 钱包连接。

据 LevelBlue 称，一旦有人连接钱包，StepDrainer 就会首先寻找最有价值的代币，然后自动将它们发送到攻击者控制的钱包。

StepDrainer 滥用智能合约工具

StepDrainer 滥用真正的智能合约工具（如 Seaport 和 Permit v2）来显示看起来正常的钱包批准弹出窗口。但这些弹出窗口中的详细信息是假的。

在一个案例中，网络安全研究人员发现受害者看到一条虚假消息，称他们正在收到“+500 USDT”，这使得批准看起来很安全。

StepDrainer 通过更改脚本加载有害代码，并从去中心化的链上账户获取其设置。

这种设置可以帮助攻击者躲避正常的安全工具，因为有害代码不会存储在可以轻松扫描的固定位置。

StepDrainer 不仅仅是一个人的项目。研究人员表示，有一个发达的地下市场出售现成的排水套件，使许多攻击者更容易在他们已经实施的骗局中添加钱包盗窃功能。

EtherRAT 窃取 Windows 用户的加密货币

研究人员还发现了除 StepDrainer 之外的另一种恶意软件，称为 EtherRAT。它通过伪造的 Tftpd64 网络管理工具针对 Windows。

据 LevelBlue 称，EtherRAT 将 Node.js 隐藏在虚假安装程序中，确保它通过 Windows 注册表保留在计算机上，并使用 PowerShell 检查系统。

EtherRAT 首先针对 Linux。现在，它正在将恶意软件技巧和加密盗窃引入 Windows。

EtherRAT 在后台安静地运行。它在开始窃取之前会检查防病毒工具、系统设置、域详细信息和硬件等内容。

根据 Cryptopolitan 最近的一份报告，过去 24 小时内已有 500 多个以太坊钱包被耗尽。攻击者窃取了超过 80 万美元的加密资产，然后通过 ThorChain 交换资金。

根据链上研究 Wazz 的数据，许多被耗尽的钱包已经闲置了 7 年多了。被耗尽的资金是由攻击者控制的单个钱包地址引导的。

网络安全研究人员建议用户将钱包连接到未知站点以验证域名，在签名前阅读交易详细信息，并删除任何无限制的代币批准。