新型恶意软件通过社会工程学手段窃取加密货币钱包

根据最新报告，一种新型恶意软件正在利用 ClickFix 社会工程学策略发起攻击。这是一种网络钓鱼技术，通过诱骗用户在完成验证码或修复系统问题时执行恶意命令。

该恶意软件主要针对加密货币用户，同时也会窃取浏览器、即时通讯应用、FTP客户端以及电子邮件账户中的敏感信息。

由于结合了社会工程学和能够逃避检测的高级传播手段，这一攻击活动被认为具有高度危险性。

这种恶意软件是 ACR（AcridRain）窃取者的演变版本。ACR 窃取者此前以恶意软件即服务 (MaaS) 模式销售，直至 2024 年中期，如今则以订阅方式提供。

攻击者通过诱导用户在完成验证码 (CAPTCHA) 的过程中，在 Windows 运行窗口中执行特定命令 (ClickFix)，从而实施攻击。

该攻击活动属于一个更广泛的网络钓鱼生态系统的一部分，此系统利用虚假发票和 VBS 附件进行传播。攻击者还将 NetSupport 远程访问木马植入伪造的 ClickFix 页面（例如 SmartApeSG 攻击活动）。

此外，攻击者还伪造 Booking.com 验证码页面和内部电子邮件提醒，其中包含虚假的送达通知，引诱受害者点击链接并窃取其登录凭据。

高价值目标

加密货币钱包因其存储可直接转移的资产而被视为高价值攻击目标。这类恶意软件能够绕过杀毒软件、EDR 和沙箱等安全措施，攻击者通常只会在存储有价值加密货币数据的设备上部署远程访问木马 (RAT)。

一旦私钥被盗，攻击者可以在几分钟内将加密货币转移到世界各地，且无需中间人介入。

与传统银行账户不同，加密货币交易不可逆，因此一旦攻击者获取私钥，受害者通常无法追回资金。

单个被攻破的钱包可能导致数十万甚至数百万美元的损失。

像 Amatera Stealer 这样的恶意软件专门用于检测和提取加密钱包文件、浏览器钱包及私钥，进一步加剧了威胁。