在工作期间,我们每天都会看到恶意活动。对我们来说最重要的是能够:
保护我们现有的客户。
分享独特的威胁情报。
不断寻找独特的有利位置以进行更好的检测。
我们每天监控超过2.5亿个广告,这要归功于我们在广告堆栈中的多个集成,使我们能够保护40K优质网站免受不良广告的侵害。
这本身让我们对渗透到广告堆栈和更广泛的互联网的恶意活动有了很大的了解,由我们专有的揭露技术提供支持。这包括通过它传播的所有web3恶意活动。
我们检测的多样性和范围使我们能够在独特的恶意活动浮出水面后立即对其进行检测。藏海花是这种针对web3钱包用户的独特恶意活动集群的一个例子,我们将在这篇博文中记录。
什么是藏海花?我们在今年早些时候于年3月发现的一组活动。我们认为藏海花是针对web3用户的技术最复杂的威胁,仅次于臭名昭著的LazarusGroup。
选择名为藏海花的活动集群是有原因的。在metamask应用程序的原始Mach-O中注入的.dylib文件之一,包含xcode派生数据的完整路径,泄露了macOS用户名:“ZhangHaike”:
作者用户名泄露
注意:其他库也犯了同样的错误,这些库帮助泄露了更多macOS用户名,从而发现了一组与藏海花相关的角色
下一步自然是在谷歌上搜索“张海科”,它提供了很多中文参考,包括我觉得有趣的一个:它是小说《藏海花》中一个人物的名字。
讲中文的参考文献符合这次大型活动的背景,并暗示与尚未发现的讲中文实体的牢固关系:
发现的macOS用户名是中文名字
后门代码中的源代码注释是用中文写的。
Modding/hooking使用的框架在说中文的modding社区中很常见,因为这些框架的许多教程和使用示例都是中文的,并且工具的作者是说中文的。
除了在.cnTLD注册的域之外,我们还发现了托管在中国IP地址空间和香港IP地址空间中的配置文件、签名基础架构和应用配置基础架构。注意:签名基础设施和供应基础设施可能与藏海花直接相关,也可能不直接相关,因为它可能被滥用或仅用作服务。
我们发现了多个最初托管在香港IP地址空间的克隆网站(模仿官方钱包网站)
被滥用的CDN是阿里巴巴
大多数针对的搜索引擎都是中文搜索引擎。
目前,藏海花的主要目标是使用后门代码修改web3钱包,最终泄露种子短语。
目标web3钱包如下:
Coinbase钱包(iOS、Android)
MetaMask钱包(iOS、Android)
TokenPocket(iOS、Android)
imToken(iOS,Android)
注意:上面的钱包是%安全的,你可以安全地使用它们。但与任何其他优秀且非常流行的软件一样,它们也容易受到修改、逆向工程和后门的影响。藏海花通过修改原始钱包来分发这些钱包的后门版本。
任何被引诱下载藏海花后门钱包的用户最终都会失去资金。我们提供了每个分析后门钱包的SHA-,以帮助我们的社区识别这些后门钱包及其多种变体。
藏海花作案手法看看这个新集群中的各种攻击,它们有一个共同点:藏海花不会以任何方式改变钱包的原始功能,而是添加代码来泄露种子短语,并使用不同的技术来增加复杂性,希望如此,记录在这篇博文中。
用户体验、用户界面和所有钱包功能都没有改变,普通/高级用户在手机上使用该应用程序时不会注意到任何事情:它是来自AppStore/Play商店的合法应用程序,其中包含一个偷偷摸摸的后门。
但是如果你正在监控网络请求,你会发现有一个网络请求被发送到看起来很奇怪的域,例如,我们看到后门钱包向trx.lnfura[.]org发送流量(模仿infura.io)或metanask[.]cc(模仿metamask.io)通过HTTPS。
设置MITM代理,我们可以解密HTTPS流量并发现种子短语、钱包地址和余额被发送给攻击者:
拦截后门的HTTPS流量
但这怎么可能呢?我们将不得不对应用程序进行逆向工程,以确定藏海花用于使这些合法应用程序在后台进行恶意行为的所有技术。
藏海花与我们跟踪的其他web3入侵集截然不同,与现有的基础设施几乎没有重叠,但从技术能力和协调的角度来看也是如此:逆向工程iOS和Android应用程序、修改它们、配置和自动部署.
藏海花还通过设置可以下载这些后门钱包的虚假克隆网站来处理应用程序分发阶段。识别出的网站是合法网站的完美克隆,提供下载链接:
imToken克隆网站(由DomainTools提供)托管在:appim[.]xyz
克隆Metamask网站,托管在: