网络钓鱼活动:Lumens: A Stellar Stealin

来源：https://blog.cyberint.com/phishing-for-lumens-a-stellar-stealing-campaign

一、介绍

许多金融动机的威胁者都瞄准了加密货币，难怪opensource区块链支付网络“Stellar”的用户最近遭到了令人信服的攻击，企图窃取他们持有的“altcoin”加密货币Lumen (XLM)。

Figure 1 - Stellar Lumen (XLM) performance (Yahoo! Finance) [1]

Stellar发展基金会最近推动了欧洲稳定货币(EURB)的开发，该货币将由德国Bankhaus von der Heydt (BVDH)于2020年12月发行，并于2021年1月被选为乌克兰数字转型部[3]的虚拟资产开发。

鉴于人们对Lumen加密货币重新产生的兴趣和不断增长的价值，建议那些使用Stellar Lumen加密货币和其他加密货币的人谨慎对待任何未经请求的通信，特别是那些声称提供“奖品”或“奖励”的通信，并采取措施确保他们的私钥和任何硬件认证方法只在合法网站上使用。

二、电子邮件诱惑

正如在这种性质的活动中所预期的那样，最初的lure电子邮件伪装成来自“Stellar”的合法通信，主题为“Stellar community - Airdrop Program ONLINE-GATEWAY-Number: 823507 Our reference number: 5802/ 8699 12/30/2020 "-POST”，并建议收件人有权获得“Lumen”奖励(图2)。

Figure 2 - Initial lure email

虽然发送使用合法的发件人名称“Stellar.org-Team”，发件人的电子邮件地址没有试图掩盖它是一个Hotmail帐户，尽管有潜在的危害，因此受害者应该注意这个早期警告作为一个邪恶活动的指标。

点击“Claim XLM”链接后，受害者会被带往一个初始域，在此情况下是getxlm[.]org，然后通过使用国际化域名(IDN)同形词攻击被重定向到一个模仿合法星形域的域。

同形文字，或同形文字，攻击欺骗受害者，使他们认为他们正在访问合法的领域，通过取代拉丁字符的外观，通常重音或西里尔字符。在这个例子中，在stellar.org中使用一个“a-grave”字符来代替a，这是一个毫不知情的受害者，他们使用了网络钓鱼领域stellar [.]com。

三、钓鱼/偷窃者网站

将受害者重定向到IDN同形词域后，可以找到合法Stellar网站的功能克隆，包括博客文章和时事通讯等附加内容。使用更完整的网站克隆版可以帮助消除可疑受害者的疑虑，让他们在被鼓励交出个人资料之前“四处点击”。

随后，受害者访问克隆网站的“帐户查看器”部分(可在/帐户查看器/访问)时，会看到一个声称是“赠送”索赔页面的页面(图3)。

Figure 3 - Victim public key prompt

除了提示受害者输入他们的 Stellar公钥，一个安全对话框请求插入他们的安全密钥，虽然不是强制性的步骤，试图验证他们的 Stellar。值得注意的是，这个提示揭示了恶意域的真实身份(图4)，尽管是同形图域xn- stellr-mta[.]com的Punycode表示，并因此提供了恶意活动的第二个指示器。

Figure 4 - Windows Security 'security key' prompt (With 'xn--' Punycode domain)

一个受害者已经输入并提交了他们的Stellar公钥，一个API请求被发送到一个合法的Stellar URL []()，[<https://horizon.stellar.org/accounts/><PUBLIC_KEY>](<https://horizon.stellar.org/accounts/><PUBLIC_KEY>),返回获取并显示受害者当前余额的JSON数据(图5)。

Figure 5 - Victim balance, legitimately obtained from Stellar

在这一点上，受害者可能确信他们正在合法访问自己的账户，并被鼓励点击“计算奖励”，这是基于从合法恒星网站克隆的修改JavaScript文件，将他们的余额乘以0.25485，并四舍五入到最接近的整数(图6)。

Figure 6 - JavaScript used to display and calculate the 'reward amount' Figure 7 - Updated page including the 'reward amount'

此时单击“Claim”，请求受害者输入他们的“密钥”(图8)，虽然没有测试，但怀疑这一步将使用硬件密钥(如果存在的话)。

Figure 8 - Prompt for the victim's Secret Key

受害者发现自己在这个阶段，当点击“签名请求”时，最终会发起一个请求，将资金转移到威胁执行者控制下的账户。

利用一个中间PHP文件，SDK。这个请求使用了合法的Stellar软件开发工具包(SDK)的函数，并似乎转移了整个余额，假设余额大于100Lumens(图9)。

Figure 9 - JavaScript initiating the balance transfer at the end of the phishing process

从这段JavaScript代码中可以看出，受害者的公钥和私钥(sourcePublicKey和secret)用于验证请求，以及要窃取的金额、sweep和威胁参与者的接收帐户receiverPublicKey。

鉴于Stellar区块链的性质，可以通过查询与receiverPublicKey相关联的交易[4]来确定威胁参与者接收的金额。

虽然在这种情况下只有12047 XLM(~3,877美元)已经收到，在写作时，这种性质的活动将经常利用多个接收帐户，使跟踪尝试复杂化。

四、建议

对未经请求的电子邮件或短信或社交媒体通信保持警惕，特别是那些“好得令人难以置信”的服务;

避免在任何地方输入秘钥，秘钥应按规定处理和保管，保密!

建议使用硬件钱包和钥匙，但在不使用时应将它们移走并安全存储，以防止无意中访问;

五、破坏的指标

以下是与此相关破坏指标(IOC)，以及类似的针对恒星社区的钓鱼活动。

最初重定向的域名

claimxlm[.]com

getxlm[.]org

钓鱼网站域名

stellàr[.]com/xn--stellr-mta[.]com

stellaŗ[.]org/xn--stella-gib[.]org

stelląr[.]com/xn--stellr-00a[.]com

stelļar[.]org/xn--stelar-zcb[.]org

Publicstèllar[.]com/xn--publicstllar-4db[.]com

Publicstellár[.]com/xn--publicstellr-mbb[.]com

Publicsteļlar[.]org/xn--publicstelar-d9b[.]org

Publicstellār[.]org/xn--publicstellr-inb[.]org

Publicstelļar[.]org/xn--publicstelar-e9b[.]org

Publicstȩllar[.]com/xn--publicstllar-dse[.]com

Publicstēllar[.]com/xn--publicstllar-3tb[.]com

Publicstẹllar[.]com/xn--publicstllar-8d6f[.]com

Publicstelłar[.]com/xn--publicstelar-mcc[.]com

Publicştellar[.]com/xn--publictellar-9mc[.]com

Publicstėlląr[.]org/xn--publicstllr-5kb5u[.]org

Publicstéllar[.]org/xn--publicstllar-ieb[.]org

Publicstęllar[.]org/xn--publicstllar-cwb[.]org

Publicstellar[.]account-viewer[.]com

Publicstellar[.]account-viewer[.]co

Publicstellar[.]account-viewer[.]org

Publicstellarclaim[.]org

Publicsecure-stellar[.]org

Publicaccountviewer[.]stellaŗ[.]org/publicaccountviewer[.]xn--stella-gib[.]org

Publicaccountvıewer-stellar[.]com/xn--publicaccountvewer-stellar-75d[.]com

Publicaccountviewer[.]stelląr[.]com/publicaccountviewer[.]xn--stellr-00a[.]com

Publicwww[.]stellar[.]us[.]com