全球打击“网络犯罪即服务”恶意软件,这些恶意软件悄悄地耗尽了加密钱包的资金,已冻结了数千万美元的被盗资金。
欧洲刑警组织周三表示,在“终局之战”行动的最新阶段,执法部门发现、标记并冻结了超过 4100 万欧元(约合 4700 万美元)的犯罪加密资产。这次为期两周的多国攻击摧毁了三个恶意软件家族背后的基础设施:SocGholish、Amadey 和 StealC。
所有三个目标加密用户。 StealC 是一种信息窃取程序,自 2023 年起作为一项服务出售,它会从受感染的计算机中抓取密码、浏览器 cookie 和加密钱包数据。 Proofpoint 的研究人员发现,其控制面板甚至包含一个试图解密受害者 MetaMask 钱包种子短语的插件。
Amadey 取得了初步立足点,并投放了更多恶意软件,而与俄罗斯组织 Evil Corp 有联系的 SocGholish 通过被黑网站上的虚假浏览器更新提示来感染人们。它们共同构成了攻击的前端,最终导致钱包耗尽、账户接管和勒索软件。
警方关闭了 326 台服务器和 142 个域名,从超过 385,000 个受感染的系统中恢复了近 2700 万份被盗凭据,并清理了近 15,000 个受感染的网站,其中许多是小型企业。仅在 5 月的前两周,该行动的合作伙伴 Microsoft 就将 Amadey 和 StealC 与全球超过 140,000 台受感染的计算机联系起来。
什么是信息窃取者?
信息窃取者已成为窃取加密货币的主要途径,悄悄窃取钱包文件、私钥和来自受害者设备的助记词。他们使用各种媒介来瞄准加密货币用户,包括虚假人工智能工具、Steam 壁纸和盗版游戏模组。
曝光规模巨大。去年年底,早期的 Endgame 行动发现了超过 100,000 个加密钱包的登录数据,这些数据从受害者那里被盗,但尚未清空。
微软数字犯罪部门分别提起美国敲诈勒索诉讼,该诉讼首次将两个恶意软件家族视为单一犯罪阴谋。调查人员使用包括 Copilot 在内的人工智能工具分析恶意软件,发现 Amadey 和 StealC 虽然是由不同的犯罪分子构建的,但它们运行在共享基础设施上,这使得微软可以根据 RICO 法案向这两个操作的推动者收费,并破坏 200 多个命令和控制服务器。此后,它已识别出超过 18,000 台受害计算机,并开始切断攻击者的控制。
.@Microsoft Digital Crimes Unit has taken down five operations in nine months that were enabling Cybercrime as a Service (CaaS).
Cybercrime runs on coordination. Disrupting it takes the same approach, working with partners to break up the systems that make these attacks… pic.twitter.com/b7ZVqdCatY
— Microsoft On the Issues (@MSFTIssues) June 24, 2026
此类攻击很少会彻底消灭恶意软件,运营商往往会重新组合,StealC 最近在本月发布了全新版本。目前,欧洲刑警组织及其合作伙伴正在通过我是否被攻击等服务发送受害者警报,以便用户可以检查他们的凭据和钱包钥匙是否已经落入犯罪分子手中。