在小偷中没有荣誉的一个完美例子中,一个名为“Water Labbu”的威胁演员正在侵入加密货币诈骗网站,注入恶意 JavaScript,从诈骗者的受害者那里窃取资金。
7 月, FBI 警告 称,假冒加密货币流动性挖掘服务但实际上窃取了受害者的加密投资的骗局“dApps” (去中心化应用程序)。
流动性挖矿是指投资者将其加密货币借给去中心化交易所以换取高回报,通常通过交易费用产生。
然而,Water Labbu 并没有创建自己的诈骗网站,而是侵入了这些类型的虚假 dApp 网站,并将 JavaScript 代码注入到网站的 HTML 中。

黑客不与受害者接触,而是将所有社会工程工作留给诈骗者。
当投资者将他们的钱包连接到 dApp 时,Water Labbu 的脚本将检测它是否包含大量加密资产,如果是,则尝试使用下面描述的多种方法窃取它。
据分析师称,Water Labbu 已经入侵了至少 45 个诈骗网站,其中大多数都遵循“无损挖矿流动性承诺”的主题。
趋势科技表示,根据九名已确认受害者的交易记录,Water Labbu 的利润估计至少为 316,728 美元。
盗贼中没有荣誉
寄生威胁行为者定位加密货币诈骗网站,并向“dapps”注入恶意脚本,这些脚本很容易与网站系统融合。
“在我们分析的一个案例中,Water Labbu 注入了一个 IMG 标签,以使用“onerror”事件加载 Base64 编码的 JavaScript 有效负载,这就是所谓的 XSS 规避技术,以绕过跨站脚本 (XSS) 过滤器,”详细介绍了趋势科技的报告。
“注入的有效负载然后创建另一个脚本元素,该元素从交付服务器 tmpmeta[.]com 加载另一个脚本。”
该脚本监控诈骗网站上新连接的钱包,并检索 TetherUSD 和以太坊钱包的地址和余额。

如果余额高于 0.005 ETH 或 22,000 USDT,则目标对 Water Labbu 有效,然后脚本会确定受害者使用的是 Windows 还是移动操作系统(Android、iOS)。
如果受害者在移动设备上,Water Labbu 的恶意脚本会通过 dApp 网站发送交易批准请求,因此看起来好像来自诈骗网站。
如果接收者同意交易,恶意脚本将耗尽钱包中的资金并将其发送到 Water Labbu 拥有的地址。

对于 Windows 用户,被黑网站会在诈骗网站上显示一个虚假的 Flash Player 更新通知。Flash 安装程序实际上是直接从 GitHub 获取的后门。
然后,威胁参与者使用此后门从设备中窃取加密货币钱包和 cookie。

被骗两次
对于受害者来说,结果是一样的;他们失去了所有的加密货币。
这次攻击唯一改变的是受害者的数字资产从最初的诈骗者转移到了 Water Labbu 黑客组织。
为避免此类诈骗,请始终研究 dApp 网站,尤其是流动性挖掘平台,以确定它们是否合法,然后再将钱包连接到它们。
此外,请定期查看您的钱包允许的网站,以确保您没有无意中添加了诈骗网站。
最后,切勿与您在社交媒体上遇到的陌生人进行投资,因为他们 通常会导致诈骗,并避免在未知交易所交易加密货币。