AICoin 是一個服務於全球的智能行情工具平台,為加密貨幣從業者提供實時的貨幣市場數據,包括價格變動、交易量、市值等關鍵信息。 是加密貨幣投資者與交易員常用的分析工具,也因此成為假 APP 盜幣團伙的仿冒對象。

近日,bitrace 收到了若干受害人下載假 AICoin 導致加密貨幣被盜的案件,本文旨在通過對其中典型案例進行分析,揭露這一手法。

騙局手法分析

受害人所遭遇的是典型的瀏覽器關鍵詞競價釣魚鏈接盜幣。

2024 年 1 月 9 日,受害人在谷歌瀏覽器中搜索關鍵詞「AIcoin」,並點擊首頁展現的第一個鏈接(https://aicoims\[.\]com) 進入 仿冒官網,下載應用程序後不久,受害人設備中瀏覽器插件錢包全鏈資產遭到清空,其中僅 BSC 鍊便有超過 16 萬美金的損失。

收取報告後,bitrace 的調查人員第一時間在谷歌瀏覽器中進行了關鍵詞檢索,首頁展現的第一個鏈接確系「贊助商」虛假鍊接,且不同網路 ip 展現的鍊接亦有不同。

AICoin 的 Google 搜索結果

進入鏈接後,發現虛假網站的風格及布局與正版 AIcoin 網站也存在較大差距。

AICoin 盜版(左)正版(右)網頁對比AICoin 盜版(左)正版(右)網頁對比

但即便如此,仍然存在較多受害人上當受騙,根據假 AICoin 受害人提供的案件相關信息,bitrace 發現盜幣團夥在多鍊上累計對至少 7 名不同的受害人地址展開盜竊行為,這也暗示著仍有更多潛在受害人已經通過其他渠道被排空了流動性。

假 AICoin 只是冰山一角

此外,在對詐騙網址進行網絡工程分析後,我們發現假 AICoin APP,只是冰山一角。

詐騙網站 aicionzh-cn.cn 的服務器 IP:202.61.84.135,所在地為亞太地區,且服務器後台使用寶塔面板搭建。 使用 IP 反向解析工具進一步深挖該服務器,結果顯示--除了提供假 AICoin ,該服務器還搭建了假 skype,假 signal 等各種軟件的下載頁面,多達 26 個詐騙網站。

任意進入其一,盜版網頁均與正版網頁相差無幾,用戶點擊安裝 APP 後,就會導致電腦或手機被植入木馬。

使用 SecurityTrails 解析 IP:202.61.84.135使用 SecurityTrails 解析 IP:202.61.84.135

這說明,詐騙分子以加密貨幣從業人士常用的 APP 為仿製對象展開盜竊,早已不單單局限於仿製助記詞直接關聯的假錢包 APP,還「拓展業務」到了其他與加密貨幣相關的假 VPN 安裝包,假行情 APP、假通訊 APP、假交易所 APP 等全套從業人士必備軟件,這大大增加了潛在受害者接觸詐騙信息的機會。

寫在最後

不難看出,不法分子基於對目標群體的了解制定了極具針對性的策略,用迭代迅速的加密欺詐手法從多角度、多方位地對用戶展開誘騙。 好在此案件中的受害人報告及時,在多家安全廠商的通力配合下,成功攔截了被盜資金,並且協助執法人員抓獲了嫌疑人,得以挽回部分損失。

Bitrace 提醒大家,對於加密貨幣從業者而言,手機、電腦即移動的金庫,在下載任何 APP 之前都應謹慎再三,確保從官方渠道獲取。 若您不幸受到損失,請隨時聯繫我們,Bitrace 會提供力所能及的幫助。