欧盟刑警行动 Endgame 冻结 4100 万欧元加密资产,跨境拆解信息窃取网络
目录
你可能想知道
• 网络犯罪组织如何能够从普通用户那里抽取大量加密货币?
• 个人和平台现在可以采取哪些实际步骤来限制暴露于信息窃取恶意软件的风险?
主要主题
欧洲刑警组织与国际合作伙伴近期宣布一项重大执法行动,针对一批负责从全球受害者处收集凭证和加密钱包数据的恶意软件家族。该行动在为期两周的时间内进行,公开称为“Operation Endgame”,导致当局识别并冻结了超过 €41 million(约 4,700 万美元)的犯罪加密资产。此次查扣伴随对三个主要信息窃取与分发家族的基础设施拆解行动:SocGholish、Amadey 和 StealC。
这三部分属于更广泛的犯罪即服务生态系统。每个部分都有明确角色:有些提供初始访问,有些从被感染主机收集敏感数据,还有些将被窃取信息传递给犯罪运营者。在此次取缔行动中,多国执法团队关闭了数百台服务器和域名以支持这些活动。当局报告已查封或关闭 326 台服务器和 142 个域名,并从超过 385,000 个被感染系统中追回近 27 million 条被盗凭证。该行动还包括对近 15,000 个受感染网站的修复工作,其中许多属于被利用向访问者提供恶意内容的小型企业。
StealC 是此次行动中特别点名的家族之一,自 2023 年起作为服务进行营销。它被设计用于抓取保存的凭证、浏览器 cookies 以及受感染机器上的特定加密钱包痕迹。值得注意的是,安全研究人员在 StealC 的控制面板中发现了一个尝试解密 MetaMask 助记词的插件——这一功能说明这些工具如何直接针对控制加密资金的核心秘密。Amadey 主要充当 dropper 或访问经纪人,获得受害者系统的初始立足点并投递后续载荷。SocGholish 常通过被入侵的网站显示伪造的浏览器更新提示来传播,曾与被指为俄罗斯相关的网络犯罪团伙 Evil Corp 有关联,并且是向受感染网站访问者分发额外恶意软件的已知机制。
这些行动有现实世界的影响:来自该生态系统的攻击常导致钱包被掏空、账户接管,以及随后发生的诈骗或敲诈。在此次执法行动中的合作伙伴微软报告称,在五月的两周窗口期内,Amadey 和 StealC 与超过 140,000 台被感染机器有关。微软数字犯罪部门根据美国的有组织犯罪法提起法律行动,将多个恶意软件家族视为单一犯罪企业的组成部分,因为它们依赖共享基础设施。调查人员使用 AI 辅助的分析工具研究代码、遥测和操作模式,建立了关联,使他们能够追查不同恶意软件行动的支持者,并在先前的执法阶段中破坏了超过 200 个指挥与控制服务器。
信息窃取器已成为加密盗窃的主要通道,因为它们针对攻击者控制资金所需的精确痕迹:钱包文件、私钥、助记词和会话 cookie。攻击向量多样且通常针对加密社区进行定制:伪造的 AI 工具、仿冒浏览器扩展、盗版游戏改动、社交工程下载诱饵,以及提供恶意脚本的被入侵网站。该方法通常安静且具有针对性——与运行公开勒索软件或喧闹的数据外泄不同,信息窃取器悄无声息地收集凭证和秘密,使攻击者能够在方便时清空钱包。
此次以及早期阶段的 Operation Endgame 所揭示的暴露规模可观。此前的行动发现与超过 100,000 个已被盗但尚未被清空的加密钱包相关的登录数据。这不仅展示了这些团体能收集的数据量,也展示了犯罪分子将被盗资产变现的时间窗口。执法回应越来越多地结合技术性中断(查封服务器和域名)、法律策略(依据 RICO 等法规提起民事或刑事诉讼)和受害者通知渠道(使用 Have I Been Pwned 等服务通知可能受影响的用户)。
然而,取缔行动很少是终结性的。恶意软件作者经常适应:StealC 背后的操作者本月仍发布了更新构建,显示其快速迭代周期。网络犯罪即服务的分布式与模块化特性意味着单个组件可以被替换或在新基础设施上重新部署。因此,尽管最近的行动显著扰乱了特定犯罪操作并冻结了资产,但应被视为对有组织、以盈利为目的的网络犯罪网络的一次重要但暂时的打击。
对于用户和组织而言,该行动强调了持续需要分层防御。实际措施包括将助记词和私钥的本地存储降到最低、在可行时启用硬件钱包、限制浏览器扩展和本地凭证存储、为网站实施严格的补丁和内容安全做法,以及教育用户识别诸如伪造更新或仿冒工具等社交工程诱饵。在平台方面,公司可以增强对外泄模式的检测、阻断已知恶意基础设施,并与执法机构和行业同行合作,共享妥协指标以加速响应与修复。
从政策角度看,该案件突显了国际合作以及技术、法律与公开通知工具结合使用对抗跨国网络犯罪企业的价值。它还说明了私营部门的遥测与先进分析(包括 AI 辅助的代码与行为分析)如何为拆解促成数字资产持续被盗的系统的执法行动提供支持。
关键见解表
| 方面 | 说明 |
|---|---|
| 查扣资产 | 已识别并冻结超过 €41 million 的犯罪加密货币。 |
| 被针对的恶意软件 | 行动聚焦于 SocGholish、Amadey 与 StealC——这些家族助长凭证与钱包窃取。 |
| 基础设施中断 | 已关停 326 台服务器与 142 个域名;相关行动中超过 200 个 C2 服务器被扰乱。 |
| 回收数据 | 从超过 385,000 个受感染系统回收近 27 million 条被盗凭证。 |
| 持续风险 | 恶意软件作者会更新构建并可能重组;取缔具扰乱性但不一定能永久遏制。 |
之后……
Operation Endgame 阶段代表在扰乱有利可图的信息窃取生态系统并限制犯罪分子即时变现被盗加密资产能力方面取得的重要协调成果。展望未来,该领域将需要持续的多国执法协作、与私营部门遥测提供者的持久伙伴关系,以及持续的公众教育以减少信息窃取器的攻击面。用户应采取稳健的密钥管理做法,组织必须优先考虑对网站妥协的快速检测与修复。尽管此次取缔减少了活动基础设施并冻结了大额不法所得,但网络犯罪分子的适应性意味着警惕、信息共享与分层防护仍然是防止未来钱包被盗浪潮的关键。
