攻击者滥用Discord传播剪贴板劫持程序,窃取粘贴操作中的钱包地址
一款新型剪贴板劫持程序正利用 Discord 社区的用户信任,暗中盗取游戏玩家与直播博主的加密货币资产。
此次攻击活动的核心是一款伪装成直播辅助工具或安全工具的恶意 Windows 程序,一经安装便会在后台静默监控用户剪贴板,伺机捕获用户复制的加密货币钱包地址。
当受害者将钱包地址粘贴至加密货币交易所、钱包应用或支付输入框时,该恶意软件会将其替换为攻击者控制的地址,在无明显痕迹的情况下完成资金转移。
被安全研究人员标记为RedLineCyber的攻击团伙,将目标锁定在与游戏、博彩及加密货币直播相关的 Discord 服务器。
该团伙会主动与服务器成员建立信任关系,伪装成工具开发者,通过私下渠道发送名为Pro.exe或peeek.exe的恶意文件。
他们向受害者谎称,这款工具能在直播过程中协助管理或保护钱包地址,让程序看似具备实用价值,从而降低用户的警惕性。
在这番看似友好的推销背后,实则是一场针对性极强的盗窃行动 —— 受害者只需一次粘贴操作的疏忽,账户内的交易资金就可能被悄悄转空。
CloudSEK 的安全分析师在监控网络犯罪分子活跃的地下社区与 Discord 频道时,发现了这一攻击活动。
在此次人工情报排查工作中,研究人员识别出该团伙伪造的RedLine Solutions虚假身份,并追溯到这款恶意软件的本源:一款由PyInstaller打包的 Python 基可执行程序。
研究人员的分析证实,该程序并非传统的信息窃取类恶意软件,其攻击行为高度聚焦于单一目标:篡改与主流加密货币相关的剪贴板数据。
此次攻击的危害性极大,原因在于其精准瞄准了用户注意力最薄弱的操作环节。许多直播博主与高频交易用户在复制粘贴冗长的钱包地址时,并不会逐一核对每一个字符。
该恶意软件运行时无命令与控制通信流量,且仅占用极少的系统资源,因此能在设备中长期潜伏,伺机等待高价值的资金转账操作。
从攻击者预置钱包地址关联的区块链交易记录来看,比特币、以太坊、索拉纳、狗狗币、莱特币及波场等主流加密货币,均已出现资产被盗的相关记录。
感染机制与剪贴板劫持逻辑
受害者运行Pro.exe后,恶意软件会在 Windows 系统的 **% APPDATA%** 目录下创建名为CryptoClipboardGuard的文件夹,并将自身添加至当前用户注册表的开机启动项中。
这一操作能确保恶意软件随系统开机自动运行,在后台持续潜伏且无任何可视窗口。
该可执行程序内置了独立的 Python 运行环境与经过混淆处理的字节码,即便目标设备未安装 Python 环境,程序仍能正常运行。
程序启动后会进入高频检测循环,每秒约三次扫描用户的剪贴板内容。
每当剪贴板内容发生变化,恶意软件会通过Base64 编码的正则表达式,对内容进行扫描,匹配各大主流加密货币的钱包地址格式。
一旦检测到有效钱包地址,程序会立即将剪贴板内容替换为该加密货币对应的攻击者预置钱包地址,并将此次替换操作记录在 **% APPDATA%\CryptoClipboardGuard** 目录下的activity.log日志文件中。
由于地址替换发生在复制与粘贴的间隙,大多数受害者直到发现资金转入错误的钱包,才会察觉地址被篡改 —— 而此时,资金转账操作已无法撤销。