加密货币盗取工具竟成IT展会"即装即用"恶意软件

随着生态系统演变成软件即服务 (SaaS) 商业模式，加密货币消耗者（旨在窃取加密货币的恶意软件）变得更容易访问。

4月22日，加密货币取证与合规公司AMLBot在一份报告中披露，众多盗取工具运营已转型为“盗取即服务”（DaaS）的SaaS模式。报告指出，恶意软件传播者仅需支付100至300泰达币（USDT）即可租用盗取工具。

加密货币消耗者报告图像来源：AMLBot

AMLBot首席执行官Slava Demchuk向Cointelegraph透露：“以往实施加密货币诈骗需要相当专业的技术知识，但在DaaS模式下，入门难度与其他网络犯罪已相差无几。”

他进一步说明，潜在犯罪者通过加入网络社群，向提供教程的资深诈骗者学习，这正是传统钓鱼攻击者转型加密货币盗取的主要途径。

俄罗斯网络犯罪——近乎合法化

Demchuk指出，提供加密货币盗取服务的犯罪团伙日益猖獗，其运营模式已趋近正规企业：

“令人震惊的是，某些盗取工具组织竟敢在行业展会上设立展位，CryptoGrab就是典型代表。”

当被问及犯罪组织为何能公然参加IT行业活动而免于逮捕时，他归因于俄罗斯的网络犯罪执法现状：“在俄罗斯等司法管辖区，只要不涉及前苏联国家，黑客行为实际上已获默许。”

这一现象已成网络安全行业多年来的公开秘密。据KrebsOnSecurity 2021年报道，几乎所有勒索软件在检测到俄语输入法时会自动休眠。

无独有偶，信息窃取程序Typhon Reborn v2会核对用户IP是否位于前苏联国家，若检测匹配即停止运行。思科公司证实，这是因为俄罗斯当局明确表示：若本土黑客侵害前苏联国家公民，必将采取行动。

Demchuk进一步解释称，DaaS组织通常通过现有钓鱼社区发展客户，包括明网（常规互联网）和暗网（深网）的灰黑产论坛，以及Telegram群组和灰色市场平台。

2024年，Scam Sniffer报告显示，尽管受害者数量仅增长3.7%，但盗取工具造成的损失高达4.94亿美元，同比增长67%。卡巴斯基数据显示，暗网论坛上相关资源数量从2022年的55个激增至2024年的129个，呈现明显扩张趋势。

AMLBot开源情报调查员（因安全考虑匿名）向Cointelegraph透露，其团队在调查过程中“确实发现多则针对Web3生态开发盗取工具的招聘广告”。

他提供了一则要求开发清空Hedera（HBAR）钱包脚本的招聘示例，该广告主要面向俄语开发者：

“该需求最初以俄文撰写，发布于Telegram开发者交流群。这清楚表明技术人才正通过半公开的小众社区被定向招募。”

调查员补充称，此类广告常见于智能合约开发群组，这些群组虽未设置访问限制，但规模通常仅100-200人。

尽管管理员会快速删除相关公告，但“需要的人早已注意到并作出响应”。

传统上，此类交易主要在Tor网络的专业明网/暗网论坛进行。但调查员指出，由于Telegram此前拒绝配合执法部门数据请求，大量犯罪活动曾转移至该平台。这一趋势在Telegram CEO Pavel Durov被捕后发生逆转：

“当Telegram宣布配合数据请求后，犯罪活动立即开始向Tor回流，因为后者更利于隐匿身份。”

尽管如此，对于网络犯罪分子来说，这可能不再是一个重要的问题。本周早些时候，Durov对法国和其他欧盟国家的私人通讯日益受到威胁表示担忧，他警告称，面对欧盟强加密后门要求，Telegram宁愿退出相关市场也不会妥协——这或将为犯罪者提供新的庇护所。