歐洲執法行動「Endgame」凍結 4,100 萬歐元加密資產,跨境瓦解資訊竊取者網路
目錄
你可能想知道
• 網路犯罪組織如何能從一般使用者那裡抽取大量加密貨幣?
• 個人與平台現在可以採取哪些實際步驟來降低遭受資訊竊取惡意軟體的風險?
主要主題
歐洲刑警組織與國際夥伴近期宣布一項重大執法行動,鎖定一群負責蒐集受害者憑證與加密錢包資料的惡意軟體家族。這項為期兩週、公開描述為「Operation Endgame」的行動,導致當局識別並凍結了超過 €41 million(約 4,700 萬美元)的犯罪加密資產。此項查扣是配合針對三個主要資訊竊取與散播家族──SocGholish、Amadey 與 StealC──的基礎設施拆解行動所進行的。
這三個要素屬於更廣泛的犯罪即服務生態系。每個環節都有明確角色:有些提供初始入侵,有些從受感染主機蒐集敏感資料,還有些將竊取的資訊傳遞給犯罪操作方。在本次取締中,多國執法團隊關閉了數百台伺服器與網域以支持這些活動。當局報告已查封或關閉 326 台伺服器與 142 個網域,並從超過 385,000 台受感染系統中回收近 27 million 筆被盜憑證。此行動亦包含對近 15,000 個受感染網站的修復,這些網站多屬於被利用以向訪客提供惡意內容的小型企業。
StealC 是此次行動中特別指出的家族之一,從 2023 年起被以服務形式行銷。它設計用來擷取儲存的憑證、瀏覽器 cookies 與受感染機器上的特定加密錢包痕跡。值得注意的是,資安研究人員在 StealC 的控制面板中發現一個試圖解密 MetaMask 助記詞的外掛,這顯示這類工具直接針對控制加密資金的核心祕密。Amadey 主要充當 dropper 或存取仲介,取得受害者系統的初始立足點並遞送後續負載。SocGholish 常透過被入侵的網站以假冒瀏覽器更新提示散播,與被指涉為俄羅斯相關的網路犯罪集團 Evil Corp 有關,並為向受感染網站訪客分發其它惡意軟體的已知途徑。
這些行動造成的現實影響顯著:來自此生態系的攻擊經常導致錢包被清空、帳戶被接管,接著衍生詐欺或勒索。合作夥伴微軟在執法行動中表示,Amadey 與 StealC 在五月的兩週期間與超過 140,000 台受感染機器有關。微軟數位犯罪單位以美國的有組織犯罪法律提起法律行動,將多個惡意軟體家族視為單一犯罪企業的一部分,因為它們依賴共用基礎設施。調查人員使用 AI 協助的分析工具研究程式碼、遙測與操作模式,建立可追溯的關聯,使他們得以追查不同惡意軟體行動的助力者,並在先前的執法階段擾亂超過 200 個指揮與控制伺服器。
資訊竊取器已成為加密資產被盜的主要管道,因為它們目標精確地鎖定攻擊者取得資金控制權所需的痕跡:錢包檔案、私鑰、助記詞與會話 cookie。攻擊載體多樣且常針對加密社群調整:偽造的 AI 工具、仿冒瀏覽器擴充套件、盜版遊戲修改、社交工程誘導下載,以及提供惡意腳本的受感染網站。這類手法通常安靜且具針對性——不像明目張膽的勒索軟體或喧鬧的資料外洩,資訊竊取器靜悄悄地蒐集憑證與祕密,使攻擊者能在方便時清空錢包。
本次以及早期階段的 Operation Endgame 所揭露的曝險規模龐大。先前行動發現與超過 100,000 個已被盜但尚未被清空的加密錢包相關的登入資料。這不僅顯示這些集團能累積的資料量,也顯示犯罪分子將竊取資產變現的時間窗。執法回應越來越多地結合技術中斷(查扣伺服器與網域)、法律策略(依 RICO 等法條提起民事或刑事訴訟)以及受害者通知管道(使用 Have I Been Pwned 等服務通知可能受影響的使用者)。
然而,取締行動很少是終結性的。惡意軟體作者經常適應:StealC 背後的操作者本月仍發布了更新版本,顯示其快速迭代週期。網路犯罪即服務的分散與模組化特性意味著單一元件可以被替換或在新基礎設施上重新部署。因此,雖然最近的行動顯著擾亂了特定犯罪操作並凍結資產,但應被視為在對抗有組織、以利潤為導向的網路犯罪網路中的一個重要但暫時性的打擊。
對於使用者與組織而言,此行動突顯了持續需要層級防禦的必要性。實際措施包括將助記詞與私鑰的本地儲存降到最低、在可行時啟用硬體錢包、限制瀏覽器擴充套件與本地憑證儲存、對網站實施嚴格的補丁與內容安全做法,以及教育使用者識別假更新或偽造工具等社交工程誘餌。在平台方面,公司可以強化外洩行為的偵測、封鎖已知惡意基礎設施,並與執法機構及業界夥伴合作,共享妥協指標以加速回應與修復。
從政策角度看,此案件凸顯國際合作與結合技術、法律與公開通知工具對抗跨國網路犯罪企業的價值。它也說明私部門遙測與進階分析(包括 AI 協助的程式碼與行為分析)如何為執法行動提供依據,拆解促成數位資產持續被盜的系統。
關鍵見解表
| 面向 | 說明 |
|---|---|
| 查扣資產 | 已識別並凍結超過 €41 million 的犯罪加密貨幣。 |
| 被鎖定的惡意軟體 | 行動集中於 SocGholish、Amadey 與 StealC──這些家族助長憑證與錢包竊取。 |
| 基礎設施中斷 | 已關閉 326 台伺服器與 142 個網域;相關行動中超過 200 個 C2 伺服器遭擾亂。 |
| 回收資料 | 從超過 385,000 個受感染系統回收近 27 million 筆被盜憑證。 |
| 持續風險 | 惡意軟體作者會更新版本並可能重組;取締具破壞性但不一定能永久性遏止。 |
後續……
Operation Endgame 階段代表在擾亂有利可圖的資訊竊取生態系並限制犯罪分子變現被盜加密資產的即時能力方面取得的重要協調成果。未來,這個領域需要持續的跨國執法協作、與私部門遙測供應者的穩定夥伴關係,以及持續的公眾教育以降低資訊竊取器的攻擊面。使用者應採用強健的密鑰管理做法,組織必須優先考量對網站入侵的快速偵測與修復。雖然這次取締減少了活動中的基礎設施並凍結了大量不法所得,但網路犯罪分子的適應性意味著警覺、資訊共享與多層防護仍是防止未來錢包竊取浪潮的關鍵。
