假"Pudgy World"网站诱骗游戏玩家交出加密钱包密码

在 3 月 10 日游戏推出数天后,一项针对 Pudgy Penguins 的 Pudgy World 游戏玩家的钓鱼活动被发现,使用假网站窃取加密货币钱包凭证。

网络安全公司 Malwarebytes 表示,该网站模仿用于游戏内物品和数字收藏品的合法钱包连接流程。 

托管在 pudgypengu-gamegifts[.]live 的页面包含 11 个定制钱包界面,旨在模仿不同的提供商,显示出协调且资源密集的设置。

所有这些的实际后果是,自动扫描工具可能会将初始页面评为良性,因为在他们的基础设施上,它表现得像一个良性页面。除非攻击者的服务器认为访问者值得针对,否则恶意功能永远不会加载。

Stefan Dasic, Malwarebytes Labs.

相关:美国参议院关注 4 月对里程碑式加密货币市场结构法案的投票

Pudgy Penguins 或 Igloo Inc 尚未发布公开回应。

硬件钱包陷阱

该攻击专注于提取助记词,特别是针对硬件钱包用户。当伪造的连接过程失败时,用户会被重定向到手动输入选项,要求输入恢复凭证,然后被攻击者捕获。

该网站还包含规避机制以避免被检测。它会检查虚拟机、自动分析工具和其他研究环境。 

如果检测到此类条件,恶意组件不会加载,限制了安全调查人员的接触。

不过,这并非与 Pudgy Penguins 相关的第一次钓鱼活动。2024 年 12 月,一项单独的行动使用恶意 Google 广告和嵌入式脚本来识别加密货币钱包,然后将用户重定向到欺诈页面。

由 Igloo Inc 管理的 Pudgy Penguins NFT 系列价值大幅下跌。其底价从 2024 年 12 月的 36.33 ETH 下跌 88.3% 至 4.10 ETH,约 8,500 美元(12,000 澳元)。

钓鱼仍然是加密货币平台(以及互联网上几乎所有地方)的持续风险。FBI 2024 年的数据记录了 193,407 起钓鱼和欺骗事件,报告的损失超过 7,000 万美元(1.07 亿澳元)。

相关:Kalshi 抨击亚利桑那州指控为预测市场对决中的"越权"

该文章《假冒"Pudgy World"网站诱骗游戏玩家交出加密货币钱包密码》首发于 Crypto News Australia。