$100K Returned — Malvertising Scam Foiled
俄罗斯诈骗分子通过恶意广告和窃取型恶意软件冒充某加密货币项目。我们侦测到了此次行动,恢复了钱包访问权限,并追回了超过10万美元。超额追回的资金已捐赠给@_SEAL_Org。以下是详细情况、IOC及经验教训。

最初发布于 Medium — PhishDestroy
概述
一个加密货币项目沦为了一场伪装成正规广告合作的社会工程学攻击的受害者。PhishDestroy 恢复了钱包访问权限,并找回了 超过100,000美元 在资金受到影响的情况下,随后将提供的奖励转给了一个外部组织,以保持独立性。
您需要了解的内容
- 该钱包早已遭到入侵;资金已被转移。
- 访问已恢复,并且 $100K+ 被阻止继续留在袭击者身边。
- 该项目曾提供一笔奖励,但该奖励被婉拒,并转交给了 @_SEAL_Org 而是。
- 这项工作是作为操作员的个人努力独立完成的,并非有偿工作。
该诈骗案的运作方式
- 受害者收到了一份关于一款加密货币游戏的合作/广告提案。
- 这次攻击看起来颇具可信度:拥有专业的网站、在X(Twitter)上建立了账号,视频通话也看似真实。
- 在通话过程中,攻击者要求安装一个“工作场所查看器”以访问相关资料。
- 所谓的“观众”是 窃取型恶意软件.
- 攻击者提取了资金,在不同链之间进行了代币兑换,并将资产转移到了自己的钱包中。
已采取的应对措施
- 已确认遭到入侵,并阻止了后续行动。
- 已为合法所有者恢复了钱包访问权限。
- 已成功接管攻击者的接收钱包,并将控制权移交给了受害方团队。
- 采取协调一致的后续措施,以降低残余风险。
结果: 访问已恢复,控制权已收回,攻击者已被封锁。
事件后的系统加固
设备安全
- 安全处理受感染设备的分步指南
- 网络隔离、会话撤销、凭证/密钥轮换、干净重建计划
操作设置
- 专用于钱包操作的全新、整洁的工作站
- 全新操作系统、仅限厂商下载、硬件钱包、极简扩展程序、独立浏览器配置文件、双因素认证
法医鉴定准备工作
- 磁盘快照及系统/应用程序日志收集指南
- 为可能进行的法律调查而保存证据
理解“回避”
广告 这是一种商业风格的社会工程学攻击,犯罪分子通过模仿常规工作流程(广告采购、合作伙伴关系、公关活动)来诱骗受害者安装恶意的“客户端”。
常见的预警信号:
- “安装我们的广告管理器/辅助工具以同步广告素材”
- “请使用我们专用的 Zoom/Telegram 客户端进行通话”
- “通过安全查看器查看我们的媒体资料包/保密协议”
关键规则: 如果来自未知方的流程需要使用特殊的客户端/查看器/更新程序,请默认将其视为恶意行为。请仅使用官方供应商提供的下载版本。
奖励与独立
- 该项目提供了奖励,因为追回的金额超过了最初的损失。
- PhishDestroy 婉拒了这笔赏金。
- 全部盈余被用于 @_SEAL_Org.
- 这确保了独立性——没有资金来源,也没有任何义务。
核心原则
- 仅限独立——不涉及预算,也不附带任何条件。
- 注重结果的方法胜过讨论。
- 反对任何“特殊客户”或未经验证的软件。
- 有助于受害者而非威胁行为者的选择性披露。
- 直接对攻击者基础设施施加压力。
实用建议
适用于项目与团队
- 切勿安装来自未经核实的第三方的工作场所查看器/客户端/更新程序。
- 请仅从官方供应商网站获取 Zoom/Telegram。
- 请避免点击关于钱包、跨链桥和空投的赞助链接。
- 建议选择支持离线存储助记词的硬件钱包。
- 若系统遭到入侵:请撤销会话、转移资金、轮换密钥、重新生成密钥,并立即寻求帮助。
献给社区
- 通过以下方式举报可疑活动 我们的Telegram机器人.
- 请访问以下链接获取关键行动指南和资源: phishdestroy.io/critical-action.
结论
尽管资金已经转出,PhishDestroy 恢复访问权限 并确保攻击者无法保留被盗资产。通过拒绝奖励并将剩余资金用于其他用途,该组织维持了其无薪、独立的运营模式,专注于快速、有效的事件响应。



