针对加密货币行业的SEO投毒攻击，9万粉丝博主疑似中招

事件背景

近期安恒中央研究院猎影实验室监测发现数起针对加密货币和NFT相关人员的SEO投毒事件，当用户使用谷歌搜索引擎搜索特定关键词时，将置顶显示攻击者投放的钓鱼网站，用户点击网站后将重定向至伪造官方网站的下载页面。下载的软件实际为“Rhadamanthys Stealer”新型恶意软件，用户一旦运行，其敏感信息和加密货币将面临泄露的风险。

攻击事件分析

当用户使用谷歌搜索“OBS”时，搜索结果页面置顶显示攻击者投放的伪造的OBS下载网站。

用户点击后将重定向至模仿官方网站的下载页面。下图为官方下载页面（左）与伪造页面（右）。

点击下载，将从攻击者C2下载“OBS_project.zip”压缩包，最终能够解压出伪造的OBS安装程序。

该程序为新型恶意软件“Rhadamanthys Stealer”，该程序使用大量花指令和跳转指令对抗检测，并检测自身执行环境，防止在虚拟机和调试环境中运行。还通过填充“0x30”使程序膨胀到726M大小，实际程序大小为6.72MB。

运行程序后将向C2服务器“77.91.122.230”发送请求，并接收通过隐写技术隐藏恶意代码的图片，恶意代码最终将窃取受害者机器中的敏感数据，并收集加密钱包数据以进行后续窃取工作。

目前已知受害者可能包括某社交平台拥有9万多关注者的用户NTF God，1月14日该名博主发文称黑客让他失去了足以改变他一生的净资产，其谷歌、推特、社交媒体、钱包、Substack等平台账户遭到攻击，并且所有的加密货币和NFT数字藏品被盗。1月15日该博主声称他使用谷歌的搜索引擎下载了开源视频流媒体软件OBS，但没有点击官方网站，而是点击了广告。

关联分析

经过关联分析发现，在今年1月3日曾有报告描述了一起SEO投毒伪造的NOTPAD++软件事件，报告中描述的攻击流程与本次攻击高度重合，疑似为同一攻击者所为。具体包括以下：

（1）两次事件都是通过投放谷歌广告的方式投递恶意软件，并且都伪造了官方软件的下载页面。

（2）下载的恶意软件经过解压后都经过填充膨胀至700M左右处理。

（3）样本运行后都将从攻击者C2请求下载后续载荷，并且后续载荷都是通过隐写到图片文件的方式隐藏。

总结

近年来，随着加密货币的行情不断上涨，网络犯罪分子或团伙逐渐将罪恶的双手伸向加密货币行业，早在今年6月，安恒猎影实验室就追踪到一起针对Telegram用户的SEO投毒攻击（详见《警惕！黑帽SEO投毒，搜索引擎成为帮凶》[https://mp.weixin.qq.com/s/Q7lmOcVzrZD_-sa0xW-zmw]），纵观两次攻击事件，背后的网络犯罪分子或团伙都是通过SEO投毒进而获取经济利益，而事实证明，SEO投毒确实是一种高回报的获利方式。对于网络安全意识薄弱的人来说，使用搜索引擎搜索相关关键字时，搜索结果的前几项可能就会被默认为官方地址，进入看似一切正常的下载页面，殊不知已经落入了黑客的圈套。因此，安恒信息再次提醒广大用户，在使用搜索引擎时应多加留意搜索结果中是否有广告，在安装软件时应尽量从官方渠道下载安装包。

IOC

搜索引擎广告域名：

mororead[.]store

rontr[.]store

montofagasta[.]store

rontreal[.]store

slavyanmar[.]store

hughtexeideas[.]store

fargonding[.]store

toysbrasnovo[.]store

伪造的OBS下载域名：

obs-project.festcommerzblog[.]com

载荷存储地址：

bitbucket[.]org/bluefirststep/onestep/downloads

哈希：

b57b152b7bb5a97fca9d60c2168e6b26（OBS_project.zip）

1f0664bc6de1cb394c6fdcb4e8792d26（OBS.exe）

0572de40b29c53ebe8df22f6875bba9d（去除填充的OBS.exe）

ip：

77.91.122.230