執法機構在「終局行動」(Operation Endgame)中凍結了超過 4,100 萬歐元(約 4,700 萬美元)的犯罪加密貨幣,歐洲刑警組織(Europol)於週三宣布。這場為期兩週、橫跨多國的聯合行動,摧毀了三組惡意軟體家族背後的基礎設施——SocGholish、Amadey 與 StealC——這些軟體專門竊取密碼與加密貨幣錢包資料,以助長詐騙與勒索軟體攻擊。此次打擊目標鎖定網路犯罪即服務平台,這些平台透過從受感染系統中竊取憑證與私鑰,悄悄掏空加密貨幣錢包。
惡意軟體家族鎖定加密貨幣錢包憑證
這三組惡意軟體家族皆透過不同的攻擊途徑,專門針對加密貨幣用戶。StealC 是一種自 2023 年起以服務形式販售的資訊竊取器,會從受感染機器中竊取密碼、瀏覽器 Cookie 以及加密貨幣錢包資料。Proofpoint 的研究人員發現,其控制面板包含一個外掛,試圖解密受害者 MetaMask 錢包中的助記詞。
Amadey 則負責建立系統初始存取權限,並部署其他惡意軟體。SocGholish 與俄羅斯組織 Evil Corp 有關,透過在遭入侵網站上顯示虛假的瀏覽器更新提示來感染用戶。這條惡意軟體鏈最終導致錢包被盜、帳號遭接管以及勒索軟體的部署。
資訊竊取器已成為竊取加密貨幣的主要途徑,它們從受害者的裝置中提取錢包檔案、私鑰與助記詞。攻擊途徑包括偽造的 AI 工具、Steam 桌布以及盜版遊戲修改檔。
警方摧毀 326 台伺服器,找回 2700 萬組憑證
該行動關閉了 326 台伺服器與 142 個網域。警方從超過 38.5 萬個遭入侵系統中找回近 2700 萬組被盜憑證,並清理了近 1.5 萬個遭感染的網站,其中許多屬於小型企業。
作為合作夥伴的微軟指出,僅在 5 月的前兩週,Amadey 與 StealC 就感染了全球超過 14 萬台電腦。去年底的一項「終局行動」行動曾發現超過 10 萬個加密貨幣錢包的登入資料遭竊,但尚未被清空。
微軟依《詐欺影響與腐敗組織法》對惡意軟體營運者提起訴訟
微軟的數位犯罪小組(Digital Crimes Unit)在美國提起詐欺影響與腐敗組織法訴訟,將這兩組惡意軟體家族視為單一犯罪共謀。調查人員利用包括 Copilot 在內的 AI 工具分析惡意軟體後發現,儘管 Amadey 與 StealC 由不同的犯罪分子開發,卻共用相同的基礎設施。
這項法律行動讓微軟能夠根據《詐欺影響與腐敗組織法》起訴這兩項行動中的協助者,並中斷超過 200 台命令與控制伺服器。該公司已確認超過 1.8 萬台受害電腦,並開始切斷攻擊者的控制權。
受害者警示透過「我是否被入侵」服務傳送
歐洲刑警組織及其合作夥伴正透過「我是否被入侵」(Have I Been Pwned)等服務傳送受害者警示,讓用戶可以檢查自己的憑證與加密貨幣錢包金鑰是否已落入犯罪分子手中。StealC 的營運者本月仍發布了最新的惡意軟體版本。
常見問題
歐洲刑警組織週三就「終局行動」宣布了什麼?
歐洲刑警組織宣布,執法機構在為期兩週、橫跨多國的「終局行動」中,凍結了超過 4,100 萬歐元(約 4,700 萬美元)的犯罪加密貨幣,並摧毀了三組惡意軟體家族——SocGholish、Amadey 與 StealC——背後的基礎設施。
警方在「終局行動」取締行動中收繳了多少伺服器與憑證?
警方在行動中關閉了 326 台伺服器與 142 個網域,從超過 38.5 萬個遭入侵系統中找回近 2700 萬組被盜憑證,並清理了近 1.5 萬個遭感染的網站。
