惡意軟體StepDrainer肆虐20多區塊鏈 盜取逾80萬美元加密資產

商傳媒｜方承業／綜合外電報導

一種名為StepDrainer的加密貨幣竊盜工具正廣泛攻擊逾20個區塊鏈網路上的數位錢包，包括Ethereum、BNB Chain、Arbitrum和Polygon等。近期一份報告指出，在過去24小時內，已有超過500個Ethereum錢包遭竊，總計逾80萬美元的加密資產被盜。

StepDrainer以「惡意軟體即服務」（malware-as-a-service）的形式運作，透過偽造的Web3錢包彈出視窗誘騙用戶授權交易。這些彈出視窗設計得非常逼真，部分甚至模仿Web3Modal錢包的連接介面。一旦用戶連接錢包，StepDrainer會優先找出價值最高的代幣，並自動將其轉移至攻擊者控制的錢包地址。

資安研究人員發現，StepDrainer會濫用Seaport和Permit v2等合法的智能合約工具，顯示看似正常的錢包授權畫面。然而，這些彈出視窗的內容是偽造的。例如，有受害者曾看到一則訊息顯示他們將收到「+500 USDT」，使授權看起來安全無虞，實際上卻是執行資產轉移。

為躲避傳統資安工具的偵測，StepDrainer透過動態更改腳本來載入惡意程式碼，並從去中心化的鏈上帳戶獲取設定。由於惡意程式碼未儲存在單一固定位置，使得偵測難度大增。此外，地下市場上存在販售現成錢包竊盜工具包的市場，大幅降低了攻擊者發動此類詐騙的門檻。

除了StepDrainer，研究人員也發現另一款名為EtherRAT的惡意軟體，該軟體曾鎖定Linux系統，現已將攻擊範圍擴大至Windows平台。EtherRAT透過偽造的Tftpd64網路管理工具誘騙用戶下載，並將Node.js藏於虛假安裝程式中，利用Windows註冊檔確保其持續駐留於系統，並透過PowerShell進行系統檢查。EtherRAT會悄無聲息地在背景執行，在竊取資產前會先檢查防毒軟體、系統設定、網域細節及硬體資訊。

值得注意的是，許多遭盜的錢包已閒置超過7年，被竊資產最終透過ThorChain進行兌換。資安研究人員Wazz根據鏈上分析指出，這些遭盜資金最終都流向由單一錢包地址控制的帳戶。鑑於這類攻擊手法日益複雜，資安研究人員建議所有加密貨幣用戶，在將錢包連接到未知網站時，務必仔細驗證網域、詳閱交易細節後再簽署，並應移除任何不必要的無限額代幣授權，以保護自身資產安全。