作者:慢霧科技
近期�,我們收到很多受害者的求助信息�����,均與 Telegram 上的“假 Safeguard”騙局有關���。由于許多用戶對這類攻擊方式不了解���,往往在遇到這種騙局時警惕性不夠��,無論是新手���,還是經驗豐富的玩家都很可能上當,本文將深入剖析這一騙局的攻擊方式�,并提供有效的防范建議���,幫助用戶保護資產免受損失�����。
騙局分析
此類騙局主要分為兩種,一種是盜取 Telegram 賬號�,騙子通過誘導用戶輸入手機號�����、驗證碼,甚至 Two-Step Verification 密碼來竊取其 Telegram 賬號���,另一種是往用戶電腦植入木馬,也是近期出現較多的手法��,本文將重點討論第二種方式�����。
在某些熱度較高的代幣空投活動中���,用戶的 FOMO 情緒正上頭時�,在 Telegram 上看到下圖 Channel 界面���,肯定就去點擊 Tap to verify 了:
點擊 Tap to verify 后會打開一個假冒的 Safeguard bot�����,表面上顯示正在進行驗證�����,這個驗證窗口極短���,給人一種緊迫感�,迫使用戶繼續操作。
繼續點擊�,結果“假裝”顯示驗證不通過���,最終讓用戶手動驗證的提示界面出現了:
騙子很貼心的配置了 Step1, Step2, Step3��,此時用戶的剪貼板里已經有惡意代碼了,只要用戶沒真的按照這幾個 Step 去操作就不會有問題:
但如果用戶乖乖地按照這幾個 Step 去操作,電腦就會中病毒���。
再舉一個例子 —— 攻擊者冒充 KOL 并使用惡意機器人進行驗證引導運行 Powershell 惡意代碼。詐騙者創建假冒 KOL 的 X 賬號,然后他們在評論區附上 Telegram 鏈接���,邀請用戶加入“獨家” Telegram 群組以獲得投資信息。例如 @BTW0205 的評論區出現的 Scam account,許多用戶會在評論區看到“令人興奮的消息”:
然后進入了對應的 Telegram Channel�����,引導用戶驗證��。
當用戶點擊驗證時����,出現了一個假的 Safeguard�,跟上述過程類似��,出現了 Step1, Step2, Step3 引導做驗證操作。
此時用戶的剪切板已經偷偷地被植入了惡意代碼內容。如果用戶真的按指南打開了運行框,并 Ctrl + V 把惡意代碼內容粘貼進運行框里��,此時的狀態就如下圖�����,在運行框里并看不到全部內容,一大片空白的前面是 Telegram 字樣及惡意代碼�����。
這些惡意代碼通常是 Powershell 指令�,執行后會悄無聲息地下載更復雜的惡意代碼,最終使電腦感染遠程控制木馬(如 Remcos)。一旦電腦被木馬控制�����,黑客便能遠程竊取電腦中的錢包文件����、助記詞、私鑰、密碼等敏感信息����,甚至進行資產盜竊�。(PS. 關于“假 Safeguard” 木馬行為可以參考慢霧區白帽?Jose?的分析�����,指路:https://jose.wang/2025/01/17/%E4%BC%AASafeguard%E7%97%85%E6%AF%92%E5%88%86%E6%9E%90/)
以太坊基金會賬號 @ethereumfndn 評論區也曾被這種騙局污染�����,這種騙局呈現出大范圍撒網收割模式。
最新的如 Trump 的 X 評論區也被這種騙局污染:
如果你是手機上打開的����,騙局會一步步拿到你的 Telegram 權限��,發現及時的話,需要盡快在 Telegram 設置里的 Privacy and Security -> Active sessions -> Terminate all other sessions���,然后加上或修改 Two-Step Verification��。
如果你不是 Windows 電腦��,而是 Mac 電腦,也一樣有類似的方式來誘導你電腦中毒�。套路類似����,當在 Telegram 里出現下圖時�,你的剪切板已經被偷偷地植入了惡意代碼內容。
此時還沒出現風險���,但如果你按照給出的步驟去做,就會出現下圖的后果:
MistTrack 分析
我們選取幾個黑客地址�����,使用鏈上追蹤和反洗錢平臺 MistTrack 進行分析����。
Solana 黑客地址:
HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV
2v1DUcjyNBerUcYcmjrDZNpxfFuQ2Nj28kZ9mea3T36W
D8TnJAXML7gEzUdGhY5T7aNfQQXxfr8k5huC6s11ea5R
根據 MistTrack 的分析,以上三個黑客地址目前共獲利超 120 萬美金��,包括 SOL 和多個 SPL Token���。?
黑客首先會將大部分 SPL Token 兌換為 SOL:
再將 SOL 分散轉移到多個地址�,且黑客地址還與 Binance、Huobi���、FixedFloat 平臺存在交互:
另外,目前地址 HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV 仍有 1,169.73 SOL 和價值超 1 萬美金的 Token 余額��。
我們再分析其中一個 Ethereum 黑客地址 0x21b681c98ebc32a9c6696003fc4050f63bc8b2c6����,該地址首筆交易時間為 2025 年 1 月���,涉及多條鏈,目前余額約 13 萬美元���。
該地址將 ETH 轉到多個平臺如:ChangeNOW, eXch, Cryptomus.com:
如何防范
如果你的電腦中招了,需要立即這樣做:
1. 這臺電腦用過的錢包���、資金都及時轉移,不要認為擴展錢包帶密碼就沒事�����;
2. 各個瀏覽器保存的密碼或登陸過的賬號����,密碼或 2FA 都盡可能進行修改;
3. 電腦上的其他賬號��,如 Telegram 等���,能改都改���。
你就做最極端假設就行���,反正電腦中毒了��,你的電腦對于騙子來說就是透明的���。所以逆向思維�����,如果你是騙子,完全控制了一臺在 Web3/Crypto 世界活躍的電腦���,會做些什么�����。最后���,電腦重要資料備份后���,可以重裝����,但重裝后最好安裝國際知名的殺毒軟件��,如 AVG��、Bitdefender、Kaspersky 等�,全盤殺毒下����,處理完畢就問題不大了��。
總結
假 Safeguard 騙局已經發展成一種成熟的黑客攻擊模式�����,從仿冒評論引流到植入木馬病毒,再到竊取資產的全過程都隱蔽且高效。隨著攻擊手段的日益精細化�,用戶需要更加警惕網絡上的各類誘導性鏈接和操作步驟���,通過提高警覺�、加強防護��、及時發現并處理潛在威脅��,才能有效防范這類騙局的侵害����。
喜來順財經
