什么是 Wallet Drainer 恶意软件及其工作原理？

定义及核心机制

1. 钱包流失恶意软件是一类专门针对网络浏览器和桌面应用程序中的加密货币钱包接口、私钥输入和会话令牌而设计的犯罪软件。

2.它的运作方式是向受感染的网站或浏览器扩展程序注入恶意JavaScript，从而在涉及钱包地址的复制粘贴操作期间实时拦截剪贴板内容。

3. 恶意软件会监视活动浏览器选项卡中的已知钱包域模式（例如 metamask.io、phantom.app 或 trustwallet.com），并仅在检测到这些域时才触发有效负载执行。

4.一旦激活，它就会覆盖模仿合法钱包用户界面的虚假交易确认模式，诱骗用户批准向攻击者控制的地址进行转账，而不会出现篡改的视觉迹象。

5. 与一般木马不同，钱包盗取者不会持续存在于主机系统上；它们完全在内存中执行，并在浏览器关闭时消失，留下最少的取证痕迹。

加密生态系统中的感染载体

1. 受损的 npm 包经常充当交付机制 - 开发人员在不知不觉中安装了恶意依赖项，这些依赖项会挂接到构建流程中，并将 Drainer 脚本注入到生产前端包中。

2. 通过非官方 Chrome Web Store 镜像或 Telegram 渠道分发的假钱包浏览器扩展程序包含混淆代码，仅在检测到 MetaMask 注入网页后才会激活。

3. 钓鱼网站冒充去中心化交易所 (DEX) 界面（例如欺骗性的 Uniswap 或 PancakeSwap 登陆页面），在渲染任何功能性 UI 元素之前加载耗尽逻辑。

4. 标记为“智能合约审计工具”或“gas 优化实用程序”的恶意 GitHub 存储库提示用户连接钱包进行“分析”，然后立即启动未经授权的转账。

5. 当用户访问被黑的加密货币新闻门户或论坛线程时，会发生偷渡式下载，其中注入的 iframe 会从防弹托管提供商处加载远程排水器有效负载。

执行期间的技术行为

1. 恶意软件劫持ethereum.request() API 调用，在所有交易请求到达用户的钱包扩展之前拦截所有交易请求，并用攻击者控制的地址替换目标地址。

2. 它修改 DOM 以通过将其显示属性设置为 none 来抑制原始钱包弹出窗口，同时渲染看起来相同但在其他地方路由批准的克隆 UI 元素。

3. 剪贴板监控是通过document.addEventListener('copy', ...)实现的，捕获每个复制的字符串并实时用攻击者拥有的等效地址替换以太坊或 Solana 地址。

4.会话令牌盗窃的目标是包含钱包连接状态的浏览器本地存储条目，允许攻击者在多个 dApp 之间重复使用经过身份验证的会话，而无需重新批准。

5. 某些变体将 WebSocket 连接部署到 Tor 隐藏服务上托管的命令和控制服务器，在会话中接收动态地址列表和配置更新。

防御对策

1. 切勿在官方商店之外安装浏览器扩展 - 在授予“读取和更改站点数据”等权限之前，请验证发布者名称、评论计数和更新频率。

2. 禁用钱包扩展中的自动连接功能，并手动批准每个 dApp 连接，而不是允许跨域持续访问。

3. 使用具有基于屏幕的交易验证功能的硬件钱包——恶意软件无法更改设备显示屏上实际显示的内容。

4. 签名后立即使用 Etherscan 或 Solscan 等区块链浏览器监控传出交易，在区块确认前检查收件人地址和值。

5. 使用浏览器沙箱工具（例如 Firefox 多帐户容器）将钱包交互与一般浏览活动隔离。

常见问题解答

问：钱包耗尽恶意软件会影响移动钱包吗？是的。据观察，伪装成钱包更新程序或区块链浏览器的 Android APK 会安装覆盖权限，以拦截运行过时操作系统版本的设备上的交易确认。

问：使用 VPN 是否可以防止钱包耗尽攻击？不会。钱包流失者在浏览器或扩展环境内的应用程序层运行； VPN 提供的网络级加密不会干扰 DOM 操作或剪贴板挂钩。

问：开源钱包项目是否不受 Drainer 集成的影响？不会。后来发现几个经过审计的 GitHub 存储库包含受损的 CI/CD 管道，这些管道在自动构建期间插入了排水器逻辑，而不会改变源代码可见性。

问：防病毒软件可以检测钱包耗尽脚本吗？很少。大多数排水器通过使用多态混淆、域生成算法和逃避启发式分析引擎的零日利用技术来避免基于签名的检测。