一股新的加密惡意軟件浪潮正在席卷數字資產的世界,這一次,參與者比以往任何時候都更聰明、更靈活。在這一新潮流的前沿是以俄羅斯爲重點的高級持續威脅(套利定價理論(APT))組織——圖書館幽靈,以及源於Android銀行木馬的跨平台竊取者Crocodilus。
“圖書管理員鬼怪最新的活動使用像 AnyDesk 這樣的合法軟件來隱藏加密礦工和鍵盤記錄器。一旦他們進入,他們就會保持沉默——直到午夜。” — 卡巴斯基威脅情報 ( 2025年6月9日 )
“圖書管理員鬼怪最新的活動使用像 AnyDesk 這樣的合法軟件來隱藏加密礦工和鍵盤記錄器。一旦他們進入,他們就會保持沉默——直到午夜。”
— 卡巴斯基威脅情報 ( 2025年6月9日 )
該APT組織將攻擊僞裝爲常規文檔(,例如,釣魚電子郵件中的支付訂單)。一旦打開,他們的惡意軟件:
2025年新功能:午夜激活——惡意軟件僅在夜間運行以避免檢測。
他們的攻擊不僅僅是簡單的暴力搶劫——相反,他們將技術專長與心理脅迫相結合,在加密週期的每一個步驟都進行打擊。
圖書館幽靈還優化了他們的加載器,使其僞裝成合法的商業應用程序,通常將他們的惡意軟件植入看似無害的文檔中,例如付款訂單或發票。當受害者執行該文件時,惡意軟件安裝程序會悄悄安裝像4t Tray Minimizer這樣的程序來掩蓋其蹤跡,以及AnyDesk進行遠程控制。
但這個團體最獨特的地方在於他們使用基於時間的觸發器:惡意軟件僅在夜間激活,從而降低了在工作時間被安全團隊檢測到的機會。它通過一種夜間策略來實現這一點,允許它竊取錢包憑證,使用XMRig挖掘門羅幣,並在未被檢測的情況下導出敏感數據。
受害者可能甚至在幾周後才意識到出了問題,這時他們的錢包通常已經被清空,系統也被破壞到無法簡單恢復的程度。
最初是一個土耳其銀行木馬,Crocodilus 現在通過以下方式針對全球加密用戶:
“Crocodilus的新解析器以外科手術般的精確度提取種子短語。只需點擊一個假X連結,你的錢包就會消失。” — ThreatFabric MTI Team (June 3, 2025)
“Crocodilus的新解析器以外科手術般的精確度提取種子短語。只需點擊一個假X連結,你的錢包就會消失。”
— ThreatFabric MTI Team (June 3, 2025)
另一方面,Crocodilus迅速從區域威脅演變爲全球威脅。它不再僅限於Android,現在還針對惡意瀏覽器擴展、複製桌面應用程序,甚至Telegram機器人來擴大其影響力。這種惡意軟件最致命的特徵是其能夠從剪貼板數據、屏幕截圖和自動填充數據中竊取種子短語,有時甚至在受害者意識到自己被針對之前就已發生。
威脅行爲者開始在暗網論壇上出售被盜錢包的訪問權限,建立了一個蓬勃發展的黑市,專門爲被竊取的數字資產服務,該市場的規模和復雜性不斷增長。有時,Crocodilus甚至會將無辜的“支持”號碼發送到受害者的手機上,欺騙用戶以技術支持的名義提供敏感信息。
黑客正在利用 X (Twitter):
真實案例:在2025年5月,一個深度僞造的“埃隆·馬斯克”直播呼籲觀衆掃描一個二維碼參與“特斯拉幣”贈品活動。受害者在30分鍾內損失超過20萬美元。
最具威脅性的趨勢之一是實時深度僞造支持聊天的開發。黑客利用受AI影響的虛擬形象在X (Twitter)上冒充知名品牌或影響者,提供真實的互動“幫助”,誘使受害者分享他們的種子短語或私鑰。
這些深度僞造技術令人信服,甚至連經驗豐富的加密用戶也受到影響,這些頭像模仿了社區內知名人物的聲音、語調,甚至肢體語言。
在最引人注目的案例之一中,一個深度僞造的"埃隆·馬斯克"在X上的直播宣傳了一場虛假的TeslaCoin贈品活動,並在幾分鍾內造成了數十萬美元的損失。
來自 Quillaudits 的 2025 年指南:
| 行動 | 它的重要性 | | --- | --- | | 使用專用設備 | 將加密活動與日常瀏覽隔離 | | 撤銷批準 | 惡意軟件無法竊取您已鎖定的錢包 | |避免使用公共 Wi-Fi |Crocodilus 在不安全的網路上茁壯成長 | | 離線驗證 X 連結 | 深度僞造騙局在交叉檢查時消失 |
爲了抵御此類威脅,用戶將不得不使用多層 OPSEC 方法。專家建議使用硬體錢包進行高價值投資,啓用雙因素身分驗證,並且永遠不要分享助記詞——即使是與假定的支持人員或合法的社交帳戶。
定期檢查錢包審批、保持軟件更新,以及將加密操作分離到一次性設備中,同樣可以降低風險。隨着攻擊者變得越來越創新和有創意,最好的防御是保持良好的教育,並保持足夠的懷疑態度。
9k 熱度
14k 熱度
13k 熱度
6k 熱度
71k 熱度
69k 熱度
140k 熱度
45k 熱度
1758k 熱度
53k 熱度
您能否相信您的加密貨幣在您睡覺時是安全的?
一股新的加密惡意軟件浪潮正在席卷數字資產的世界,這一次,參與者比以往任何時候都更聰明、更靈活。在這一新潮流的前沿是以俄羅斯爲重點的高級持續威脅(套利定價理論(APT))組織——圖書館幽靈,以及源於Android銀行木馬的跨平台竊取者Crocodilus。
天秤幣圖書館幽靈: “合法”的惡意軟件
該APT組織將攻擊僞裝爲常規文檔(,例如,釣魚電子郵件中的支付訂單)。一旦打開,他們的惡意軟件:
2025年新功能:午夜激活——惡意軟件僅在夜間運行以避免檢測。
他們的攻擊不僅僅是簡單的暴力搶劫——相反,他們將技術專長與心理脅迫相結合,在加密週期的每一個步驟都進行打擊。
圖書館幽靈還優化了他們的加載器,使其僞裝成合法的商業應用程序,通常將他們的惡意軟件植入看似無害的文檔中,例如付款訂單或發票。當受害者執行該文件時,惡意軟件安裝程序會悄悄安裝像4t Tray Minimizer這樣的程序來掩蓋其蹤跡,以及AnyDesk進行遠程控制。
但這個團體最獨特的地方在於他們使用基於時間的觸發器:惡意軟件僅在夜間激活,從而降低了在工作時間被安全團隊檢測到的機會。它通過一種夜間策略來實現這一點,允許它竊取錢包憑證,使用XMRig挖掘門羅幣,並在未被檢測的情況下導出敏感數據。
受害者可能甚至在幾周後才意識到出了問題,這時他們的錢包通常已經被清空,系統也被破壞到無法簡單恢復的程度。
Crocodilus: 種子短語收集器
最初是一個土耳其銀行木馬,Crocodilus 現在通過以下方式針對全球加密用戶:
另一方面,Crocodilus迅速從區域威脅演變爲全球威脅。它不再僅限於Android,現在還針對惡意瀏覽器擴展、複製桌面應用程序,甚至Telegram機器人來擴大其影響力。這種惡意軟件最致命的特徵是其能夠從剪貼板數據、屏幕截圖和自動填充數據中竊取種子短語,有時甚至在受害者意識到自己被針對之前就已發生。
威脅行爲者開始在暗網論壇上出售被盜錢包的訪問權限,建立了一個蓬勃發展的黑市,專門爲被竊取的數字資產服務,該市場的規模和復雜性不斷增長。有時,Crocodilus甚至會將無辜的“支持”號碼發送到受害者的手機上,欺騙用戶以技術支持的名義提供敏感信息。
假X連結:現在帶有實時深度僞造
黑客正在利用 X (Twitter):
真實案例:在2025年5月,一個深度僞造的“埃隆·馬斯克”直播呼籲觀衆掃描一個二維碼參與“特斯拉幣”贈品活動。受害者在30分鍾內損失超過20萬美元。
最具威脅性的趨勢之一是實時深度僞造支持聊天的開發。黑客利用受AI影響的虛擬形象在X (Twitter)上冒充知名品牌或影響者,提供真實的互動“幫助”,誘使受害者分享他們的種子短語或私鑰。
這些深度僞造技術令人信服,甚至連經驗豐富的加密用戶也受到影響,這些頭像模仿了社區內知名人物的聲音、語調,甚至肢體語言。
在最引人注目的案例之一中,一個深度僞造的"埃隆·馬斯克"在X上的直播宣傳了一場虛假的TeslaCoin贈品活動,並在幾分鍾內造成了數十萬美元的損失。
OPSEC提示:如何保持安全
來自 Quillaudits 的 2025 年指南:
| 行動 | 它的重要性 | | --- | --- | | 使用專用設備 | 將加密活動與日常瀏覽隔離 | | 撤銷批準 | 惡意軟件無法竊取您已鎖定的錢包 | |避免使用公共 Wi-Fi |Crocodilus 在不安全的網路上茁壯成長 | | 離線驗證 X 連結 | 深度僞造騙局在交叉檢查時消失 |
爲了抵御此類威脅,用戶將不得不使用多層 OPSEC 方法。專家建議使用硬體錢包進行高價值投資,啓用雙因素身分驗證,並且永遠不要分享助記詞——即使是與假定的支持人員或合法的社交帳戶。
定期檢查錢包審批、保持軟件更新,以及將加密操作分離到一次性設備中,同樣可以降低風險。隨着攻擊者變得越來越創新和有創意,最好的防御是保持良好的教育,並保持足夠的懷疑態度。