多角度揭秘威胁行为组织CryptoCore复杂的加密货币欺诈活动

2024-09-18 54 0

写在前面的话

随着数字货币的迅速增长,加密货币骗局也日益增多,给投资者和用户带来了极大风险。这些骗局通常通过承诺高回报吸引个人,或使用复杂的手段骗取即使是最谨慎的人。识别这些骗局对于保护潜在目标用户、以及在不断发展的加密货币领域中安全行事至关重要。人工智能(AI)和深度伪造技术的出现,导致利用名人和重大事件的骗局显著增多,因为这些技术能够制作逼真但虚假的视频。许多骗局借助名人或重大事件的影响力和可信度,试图欺骗更多人。

威胁行为者利用多种媒体传播虚假页面和视频。通过不同的平台,他们能够触及广泛的受众,增加用欺诈性内容吸引更多人的机会。2018年,Twitter成为首个记录在案的媒介,威胁行为者接管了英国时尚零售商Matalan、电影发行商Pathe UK和美国出版商Pantheon Books的官方账户,并利用伊隆·马斯克的名义通过推文宣传欺诈广告。自2019年起,黑客还劫持高知名度的YouTube频道,用于推广加密货币骗局。

为应对这些劫持行为,谷歌花费大量时间研究黑客的技术,这些技术曾被用于攻击数千名YouTube创作者。然而,尽管做出努力,骗子仍然时有劫持账户的情况发生。这一问题引起了其他研究人员的关注,推动了关于平台上加密货币欺诈的多篇学术研究,从YouTube和Twitter开始,延伸到TikTok、Telegram、WhatsApp等近年来兴起的平台。

研究显示,所有这些平台上的骗局手法和技术非常相似。人工智能的深度伪造已经成为加密货币欺诈活动的关键工具。近年来,基于滥用名人赠品活动的骗局大幅增加。一个名为CryptoCore的组织因其复杂的策略和对毫无戒心目标用户的成功欺骗而闻名。该组织利用深度伪造技术、劫持YouTube账户和精心设计的网站,引诱用户将加密货币转移到骗子的钱包中。

本报告深入分析了CryptoCore组织骗局的复杂性及其作案手法。我们将描述关键事件,包括YouTube账户劫持和深度伪造视频,以及对欺诈网站的技术分析。本研究的一个目标是对已获利数百万美元的欺诈钱包进行基础分析,并提供检测方法,展示目标用户如何被引诱进入可疑网站并最终成为加密货币骗局的目标。

手法分析

主要的攻击手段依赖于对知名品牌和名人的信任,以及对重大文化或政治事件的关注。这类骗局通常通过伪造来自可信社交媒体账户或活动页面的官方消息,使潜在目标用户相信这些信息是真实的,并借此利用与特定品牌、人物或事件相关的信任。目标用户通常会被引导至一个承诺快速轻松获利的虚假网站。为了增加紧迫感,骗子常常设置限时“赠品”活动,催促目标用户迅速行动,否则将错失所谓的快速获利机会。

最常见的攻击形式是伪装成名人投资某种新兴加密货币的活动,声称该名人的介入旨在提升公众对该加密货币的兴趣。这些骗局尤其针对新手加密货币用户,往往会与某些科技相关的实际事件挂钩,如太空飞行或虚假的加密货币研讨会,以混淆视听,增加辨别难度。

CryptoCore 组织的成功源于其精心策划的前期准备、先进的技术支持,以及通过热门社交平台大规模传播欺诈信息的能力。

在发布恶意内容之前(通常是含有指向欺诈网站二维码的视频),攻击者首先需要创建一个共享内容的环境。如果成功,目标用户会被引导至虚假页面。为此,他们通常劫持拥有大量粉丝的账户。数据显示,黑客常通过网络钓鱼或恶意软件入侵目标账户,窃取会话信息或登录凭据。例如,网络钓鱼邮件可能会以YouTube条款变更通知,或合作广告提议为幌子诱骗账户持有者,其他社交平台上的账户也会遭遇类似攻击手法。

攻击者通常会提前准备好深度伪造内容,并等待最佳时机来吸引大量观众。在事件发生当天,劫持者会修改账户的背景和描述,上传虚假内容以增强其可信度,伺机引诱搜索相关活动的用户。由于被劫持账户往往拥有大量粉丝,搜索结果中虚假内容很容易被置于前列。

一旦目标用户信以为真,认为该活动是独特且真实的,他们会被重定向到一个设计精良的虚假网站。该网站通常包含在线聊天的“技术支持”,展示活动说明、规则以及加密钱包,甚至还模拟了虚假的交易系统,使页面看起来更加可信。然而,一旦目标用户将资金转入,该资金将无法追回。

下图为CryptoCore欺诈网站示例:

重建威胁行为者的行动

根据评估的作案手法,我们发现有明显迹象表明这是一个规模庞大、复杂的欺诈行动,使用了多种技术和欺诈手段。他们的技术利用了对其活动成功至关重要的几种关键工具:

第一步是吸引尽可能多的观众和潜在目标用户。为此,组织会选择即将广泛宣传且伴有直播的重要事件。第二步是制作模仿官方活动的深度伪造视频,并通过嵌入二维码将用户引导至欺诈网站。技术分析显示,这些欺诈网站使用相同的模式和框架生成。

当虚假视频和网站准备完毕后,攻击者会通过热门平台(尤其是YouTube)的被盗账户进行传播。获取这些被盗账户是关键环节之一,因为拥有大量订阅者的账户更有助于吸引目标用户。此外,虚假评论进一步推动了虚假事件的传播。最终,成功的欺诈活动收集到大量存放欺诈性加密货币的钱包。

搜索引擎

我们已经明确了目标用户是如何被引导至虚假视频或被劫持账户的,这是威胁行为者操作的关键部分,设计为多平台操作。初始阶段主要在桌面平台上进行,而登陆页面则通过二维码引导到智能设备。

大多数目标用户通过在热门搜索引擎中搜索与被利用事件相关的关键词(例如“spacex starship launch 4”、“starship flight test”或“start starship”)找到这些欺诈视频。另一种直接访问方式是通过Y0uTube搜索关键词,如“eclipse 2024 totality”、“integrated flight test four”和“spaceship”。除了直接搜索外,我们还在X、Facebook和Twitch平台的各种论坛和帖子中发现了虚假或滥用的评论。以下是一些示例:

CryptoProject涉及其中

我们根据生成登录页面所使用的框架,将该威胁行为组织命名为 CryptoCore。然而,这些活动可能是多个独立网络犯罪团伙通过分包合作的结果。

登陆页面是使用在黑客论坛上以 CryptoProject 品牌宣传的框架创建的。开发者提供在个人域名上部署的服务,价格约为 100 美元,甚至展示了我们一直监控的赠品活动的示例(如下图所示)。订单可以通过专用的 Telegram 机器人提交,指定生成特定的页面。

有趣的是,深度伪造视频、被盗账户以及虚假评论都可以通过类似的方式获取。这意味着,所有必要的工具可以作为服务提供。这自然引出了一个问题:整个欺诈活动是否可以通过服务完成,客户只需提供加密钱包(即所谓的“欺诈即服务”),还是这是一个单一团伙将部分活动分包出去的结果。

无论如何,我们可以相当有把握地断定,登录页面是通过一个可作为服务的框架创建的,且这种评估大概可以扩展至其他组成部分,例如深度伪造视频、被劫持账户和虚假评论。需要进一步研究以揭示其他环节的更多细节,特别是与欺诈性加密钱包相关的部分,这可能有助于排除某些假设。

加密钱包分析

在为期六个月的分析中,我们发现了数百个加密钱包,总营业额达数百万美元。然而,必须注意的是,仅通过计算每个钱包的所有入账交易并不能准确反映其最终价值,因为还需扣除来自同一钱包的BTC支出交易。我们还记录了一些与赠品活动无关的大额交易,可能是骗子之间的转账行为。这些钱包显然属于攻击者,而非中间人。因此,尽管以下加密钱包的统计数据并不完全精确,但它提供了该组织非法活动收入的大致范围。

我们共检测到1200个加密钱包,最常用的加密货币为以太坊、比特币、Tether和狗狗币,如下图所示:

这些钱包的总营业额约为540万美元。下表总结了每个钱包的交易详情。由于比特币的高价值,从绝对值来看,比特币钱包占总营业额的最大份额,其次是以太坊钱包。完整的加密钱包列表可以在本文文末的IoC部分查看。

钱包

价值

比特币

$ 3,229,752

以太坊

$ 1,651,163

狗狗币

$ 238,724

索尔

$ 102,294

XRP

$ 188,441

$ 5,410,377

被劫持的 YouTube 帐户

由于 YouTube 仍然是全球最受欢迎的视频共享平台,拥有数十亿用户,威胁行为者积极利用其身份验证机制。此前的分析和博客文章记录了数百个可疑账户。最常被劫持的账户可以归因于两个案例,一个拥有1900万订阅者,另一个接近1200万。在我们的观察中,拥有500万订阅者的账户并不罕见。这么高的订阅者数量使得威胁行为者能够轻松进入前10个搜索结果。

尽管这些频道常常逃避 YouTube 的检测和屏蔽,它们的主题会根据当前活动的需要进行调整。一个频道可能使用诸如 MicroStrategy、Tesla、SpaceX、Ripple 等名称。背景图片、频道名称、描述和别名(如 @RippleXRP24 或 @MicroStrategys)通常会被修改,以混淆目标用户,攻击者还会通过域名抢注来增加混淆程度。攻击者通常会将原所有者的视频设为私人,并上传自己的内容,以使账户看起来尽可能可信,即使其状态已验证且订阅者众多。

这些大规模攻击显然针对了订阅者数量众多的 YouTube 账户。如果威胁行为者没有针对特定事件,我们通常每天都会观察到几个被劫持的账户,通常以 MicroStrategy 或 XRP 为主题。然而,在 SpaceX 发射等重大全球事件发生之日,被盗账户的数量可能会上升到数十个。

YouTube 会因违反规则而封锁或删除账户,但大多数情况下不会这样做。此外,许多被滥用的账户只能被暂时停用,一些账户可能仍处于活动状态,以备下一次有希望的活动。因此,停用的账户可以在被封锁之前用于多个 CryptoCore 活动。目标用户经常报告,向 YouTube 证明账户所有权非常困难。此外,账户可能会被封锁或永久删除,包括其所有内容。鉴于这些账户拥有大量订阅者,对目标用户来说,这意味着他们多年来建立的个人资料会遭受重大损失。

这些账户是通过网络钓鱼或通过电子邮件传播的恶意软件窃取的,而且也有可能性是从暗网中购买而来的,

被劫持的 YouTube 帐户统计

由于分析的账户范围有限,我们并不打算对 YouTube 账户进行全面的统计分析。然而,我们的样本中超过20%的被劫持账户拥有超过一百万的订阅者。最大的份额(约36%)则是拥有10万到50万订阅者的账户。因此,绝大多数被盗账户都拥有大量关注者,尤其是当我们考虑到 MicroStrategy 的官方 YouTube 账户“仅有”39.1万订阅者时。

如此高的订阅者数量有助于提升搜索结果,从而提高知名度和可信度。大多数账户试图将自己与 SpaceX 活动相关联,其次是 MicroStrategy,这已成为 CryptoCore 长期以来的主要内容。Ripple 是第三个重要的主题。然而,我们必须考虑统计数据中的噪音,因为内容可能会随时间变化,而且一个账户可能涉及多个主题。为了说明规模,deepfake 视频直播的观看人数通常可达数十万。

Deepfake 视频的使用

CryptoCore 活动利用深度伪造视频来补充 YouTube 账户,这些视频滥用知名活动、人物或公司的官方镜头。例如,在 SpaceX 和 Elon Musk 的案例中,我们观察到滥用的视频包括 SpaceX All Hands 2024、Starship 飞行测试和 2022 年 Starship 更新等活动。针对 Michael Saylor 的视频标题有“比特币是 Michael Saylor 的数字能源”、“Michael Saylor 的 10 条生活规则”和“Michael Saylor 的能源本质”。其他被滥用的人物还包括 Larry Fink(贝莱德首席执行官)、Vitalik Buterin(以太坊联合创始人)和 Bradley Garlinghouse(Ripple Labs 首席执行官)。

这些深度伪造视频通常围绕一个共同主题:一位知名人士谈论一个能让你的投资翻倍的独特机会。视频使用了假声音和口型同步等先进的伪造技术,通常每 12 分钟循环播放一次,播放前会配有倒计时或其他引导性元素,如火箭发射倒计时或在线广播开始。

此外,有些视频是预先录制的,然后以直播的形式发布。例如,我们发现一些新账户先上传了约 3 小时的视频,并将其设为私人视频,随后相同的内容以直播的形式重新出现在同一个账户上。有时,这些录制的直播还会添加与欺诈相关的元素,如特定背景或视频中的二维码。

演示视频一:【点我观看

演示视频二:【点我观看

在上一次的大规模加密货币活动中,我们注意到深度伪造技术得到了显著进步。这些视频现在以高质量的口型同步和细致的镜头呈现人物形象,使观众容易相信自己在观看官方声明。此外,视频还巧妙地利用了原始背景的一部分(如大屏幕)来无缝展示与骗局相关的信息。

演示视频三:【点我观看

演示视频四:【点我观看

此外,尽管被滥用的人物已发布官方声明来针对这些骗局,但这些措施在阻止骗局方面效果甚微:

总结

CryptoCore 欺诈集团利用加密货币的流行和对知名人物及事件的信任,发起复杂的赠品欺诈。他们使用深度伪造技术、劫持 YouTube 账户和虚假网站,诱骗目标用户将加密货币发送到他们的钱包中。

CryptoCore 至少运营了五年,尽管手法未变,但平台如 YouTube 和 Cloudflare 仅偶尔拦截这些欺诈。每次活动中都有新被劫持的账户,增加了风险。近 65% 的被入侵账户有超过 10 万订阅者,20% 超过一百万订阅者。建议 YouTube 账户所有者启用 2FA、使用强密码、警惕网络钓鱼、定期检查账户活动、确保恢复选项,并使用可靠的防病毒软件。

类似的欺诈也发生在其他平台,显示出该团伙的广泛活动。我们估计,被盗加密货币的价值接近 540 万美元,特定事件中可达 150 万美元。威胁行为者分散媒介并利用智能设备增加欺诈网站未被检测到的可能性。

建议用户警惕看似过于诱人的优惠,尤其是关注者众多但活动量可疑的账户。确保在智能设备上安装防病毒软件,并保持警惕,以保护自己免受加密货币欺诈的侵害。如果优惠听起来好得令人难以置信,那很可能就是假的。

入侵威胁指标IoC

cc-cryptowallets:【点我下载

参考资料

https://www.bbc.com/news/technology-46097853

https://arxiv.org/pdf/2405.09757

https://www.akamai.com/blog/security-research/crypto-giveaway-scams-are-still-successful#analysis

https://www.bitdefender.com/blog/hotforsecurity/beware-of-scams-elon-musk-is-not-giving-away-bitcoin-on-twitter

https://www.bitdefender.com/blog/hotforsecurity/fake-elon-musk-crypto-giveaway-scam-campaigns-run-rampant-on-tiktok

https://www.bleepingcomputer.com/news/security/verified-twitter-accounts-hacked-in-580k-elon-musk-crypto-scam

https://www.coindesk.com/business/2024/01/03/michael-saylor-commences-plan-to-sell-216m-worth-of-microstrategy-stock-options/?utm_medium=referral&utm_source=rss&utm_campaign=headlines

https://www.reuters.com/technology/space/musks-spacex-is-building-spy-satellite-network-us-intelligence-agency-sources-2024-03-16

https://x.com/elonmusk/status/1529484675269414912

https://x.com/saylor/status/1746298365036343477

https://www.security.org/antivirus/antivirus-consumer-report-annual/#usage

参考链接

https://decoded.avast.io/martinchlumecky1/cryptocore-unmasking-the-sophisticated-cryptocurrency-scam-operations/


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论