一个名为SeaFlower的技术复杂的威胁行为者一直以Android和iOS用户为目标,作为一个广泛的黑客行动的一部分,该行动模仿官方加密货币钱包网站,旨在反向破坏的应用程序,盗取受害者的加密货币资金。
据称,该活动于2022年3月首次被发现,根据macOS用户名、后门代码中的源代码注释及其对阿里巴巴内容交付网络(CDN)的滥用,该集群”应该与一个尚未被发现的讲中文的实体有密切关系“。
Confiant公司的Taha Karim在该行为的技术深入研究分析中表示:“截至今天,SeaFlower的主要当前目标是使用后门代码修改Web3钱包,最终泄露种子助记词。”
目标应用程序包括Android和iOS版本的Coinbase钱包、MetaMask、TokenPocket和imToken。
SeaSeaFlower的作案手法包括建立克隆网站,作为下载木马版本的钱包应用程序的渠道,除了增加旨在将种子助记词传输到远程域名的新代码外,几乎与原来的对应程序没有任何变化。
恶意活动还被设计成通过配置配置文件使应用程序被侧载到设备上的方式来针对iOS用户。
至于用户如何偶然发现这些提供欺诈性钱包的网站,该攻击利用百度和搜狗等中国搜索引擎上的SEO中毒技术,这样,搜索“下载MetaMask iOS”等关键词时,以在顶部显示路过式下载页面的搜索结果页面。
如果有的话,这次披露再次强调了威胁行为者如何越来越多地将目光投向流行的Web3平台,以试图掠夺敏感数据并欺骗性地转移虚拟资金。