一款名为StepDrainer的加密资产窃取程序正在以太坊、BNB链、Arbitrum、Polygon等至少17个区块链网络中活跃运行,通过伪造Web3钱包连接弹窗诱导用户签署恶意交易,部分界面刻意模仿Web3Modal标准交互流程,极具欺骗性。
该攻击手段借助Seaport与Permit v2等真实部署的智能合约功能,生成看似合规的钱包授权提示,但其中显示的交易金额与收款方均为精心伪造。有案例显示,受害者界面曾呈现“+500 USDT”的虚假到账信息,误导其误判操作安全性。
攻击者采用动态脚本加载机制,从去中心化链上账户获取实时配置参数,使恶意代码不驻留于固定文件路径,从而有效规避传统安全扫描系统的识别能力。
研究团队确认,StepDrainer并非零散开发的个人项目,而是由高度组织化的地下产业链提供标准化工具包,支持快速集成至现有钓鱼网站或诈骗应用中,显著降低攻击门槛,推动相关犯罪活动泛滥。
除针对Web3用户的攻击外,另一款名为EtherRAT的恶意程序正通过伪装成Tftpd64网络管理工具的方式在Windows系统传播。该程序将Node.js环境嵌入虚假安装包,利用注册表实现开机自启,并通过PowerShell执行系统侦察任务。
该恶意软件原为Linux平台设计,现已被升级以兼容Windows系统,具备隐蔽运行能力。其行为模式包括主动探测杀毒软件状态、系统权限配置、网络域环境及硬件指纹,随后启动加密资产窃取流程。
最新链上数据显示,过去一日内已有超过500个以太坊地址遭受入侵,被盗资产总值突破80万美元。分析指出,多数受害钱包长期处于休眠状态(超过七年未动),所有资金最终均被转入单一控制地址,疑似集中洗钱节点。
专家建议用户在接入未知网站时务必核验域名真实性,签署任何交易前必须逐项确认收款方与金额,同时及时取消对高风险项目的无限额代币授权。保持对异常提示的高度敏感,是抵御此类社会工程攻击的核心策略。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.