网络安全中的善恶丑闻 – 第32周

善 | 美国起诉税务钓鱼诈骗者与加密货币混币器创始人洗钱数百万美元

尼日利亚籍的Chukwuemeka Victor Amachukwu本周从法国被引渡至美国，面临多项指控，包括身份盗窃、电信诈骗和黑客攻击。在2019年至2021年间，Amachukwu及其同伙对美国税务准备企业发起鱼叉式网络钓鱼攻击，窃取个人数据用于提交欺诈性IRS纳税申报和SBA贷款申请。

这些骗局获利超过330万美元，其中250万美元来自被盗退税，81.9万美元来自虚假SBA贷款。此外，Amachukwu还运营了一个涉及虚假备用信用证的虚假投资计划，误导受害者投资数百万美元并中饱私囊。他目前面临六项指控，每项电信诈骗罪最高可判处20年监禁，身份盗窃罪还需强制服刑两年，美国正寻求没收所有非法所得。

Samourai Wallet创始人Keonne Rodriguez和William Lonergan Hill均对通过其加密货币混币服务清洗超过2亿美元犯罪收益表示认罪。从2015年到2024年，他们的工具Whirlpool和Ricochet支持匿名比特币交易，处理了超过8万BTC，涉及数据泄露、鱼叉式网络钓鱼计划、暗网市场和DeFi相关欺诈。Rodriguez和Hill将Samourai宣传为隐藏非法资金的手段，甚至建议黑客使用它。

来源：美国司法部

他们于2024年4月被捕，被指控运营无牌货币传输业务和洗钱，面临最高25年监禁。截至目前，两人已同意没收超过2.37亿美元，Samourai的域名和服务器被查封，其应用也从Google Play商店下架。据报道，混币服务通过故意帮助犯罪分子混淆财务踪迹，产生了超过600万美元的费用。

恶 | YouTube上的虚假交易机器人通过恶意智能合约窃取90万美元加密货币

SentinelLABS的一份新报告揭示了一个广泛的加密货币骗局活动，使用伪装成交易机器人的恶意智能合约窃取资金。这些骗局通过老旧且看似可信的YouTube账户传播，自2024年初以来已从受害者那里窃取超过90万美元。

这些合约在Remix Solidity Compiler平台上编写，并通过XOR编码、字符串连接和大数字转换等混淆技术隐藏攻击者控制的钱包地址。受害者被诱骗为这些合约提供资金，并在不知情的情况下将资金转移给攻击者。一旦资金到位，合约使用嵌入式逻辑将ETH重定向到隐藏的攻击者控制钱包。

骗局视频通常采用AI生成的旁白，这使得大规模制作骗局更容易且成本更低，评论部分也经过精心管理以伪造合法性。像@Jazz_Braze和@SolidityTutorials这样的账户都发布了高观看量的教程，没有明显的恶意迹象，而一些骗局通过Telegram分享的未列出视频传播。

该活动中的骗局成功率各异。虽然一些骗局只产生几千美元，但一个名为“如何创建被动收入MEV机器人”的视频将超过90万美元汇入单个攻击者地址。该视频背后的账户在过去几个月里填充了娱乐短片，可能是为了提升排名。该视频仍未公开列出，可能通过其他社交平台分享。

Jazz_Braze的MEV机器人教程视频

鉴于生成AI内容和购买老旧YouTube账户的便利性，加密货币骗局生态系统对攻击者越来越容易访问。SentinelLABS敦促加密货币用户避免部署由影响者内容推广的代码，并在使用前彻底验证任何工具。如果一个交易机器人承诺轻松获利但缺乏透明度，它很可能是一个骗局——尤其是在波动性大的加密货币世界中。

丑 | 攻击者利用可能的SonicWall零日漏洞在防火墙中部署Akira勒索软件

SonicWall正在调查一个潜在的零日漏洞，此前针对其启用SSLVPN的Gen 7防火墙的Akira勒索软件攻击激增。内部和外部均已报告多起事件，促使SonicWall发布指南，建议用户在可能的情况下禁用SSLVPN，将SSLVPN访问限制为受信任的IP，强制执行MFA，更新密码，并删除不活跃账户。虽然禁用VPN可能对所有用户不可行，但该网络安全公司建议立即启动事件响应措施。

安全研究人员观察到攻击者利用SonicWall防火墙访问网络，快速转向域控制器，禁用Microsoft Defender，并部署Akira勒索软件。这些攻击始于7月下旬，涉及AnyDesk、ScreenConnect和SSH等工具。所有确认的事件都与Akira有关，一些攻击者未能加密系统但获得了未经授权的访问。

疑似漏洞影响固件版本7.2.0-7015及更早版本，尤其是在TZ和NSa系列设备上。其他研究人员认为零日漏洞很可能在起作用，因为即使启用了MFA，攻击也成功了。

关于攻击的最新更新进一步揭示，Akira附属组织使用自带易受攻击驱动程序（BYOVD）技术，利用Windows驱动程序如rwdrv.sys和hlpdrv.sys禁用防病毒保护。这些驱动程序使攻击者能够操纵Windows Defender设置并获得内核级访问权限。此外，Akira威胁行为者使用SEO投毒诱骗IT专业人员下载木马化安装程序，这些程序部署Bumblebee恶意软件，实现远程访问、凭据盗窃和最终的勒索软件部署。

自2023年3月出现以来，Akira已入侵超过250名受害者，通过针对性勒索软件活动勒索了约4200万美元。