
一項全球性的打擊「網路犯罪即服務」惡意軟體的行動,成功凍結了數千萬美元的被盜資金,這些惡意軟體會悄悄地清空加密錢包。
歐洲刑警組織週三表示,在「終局行動」的最新階段,執法部門識別、標記並凍結了超過 4,100 萬歐元(約 4,700 萬美元)的犯罪加密資產。這項為期兩週、橫跨多國的打擊行動摧毀了 SocGholish、Amadey 和 StealC 三種惡意軟體家族的基礎設施。
這三種惡意軟體都鎖定加密貨幣用戶。StealC 是一種自 2023 年以來作為服務出售的資訊竊取軟體,它會從受感染的機器上抓取密碼、瀏覽器 Cookie 和加密錢包資料。Proofpoint 的研究人員發現,其控制面板甚至包含一個嘗試解密受害者 MetaMask 錢包助記詞的外掛程式。
Amadey 獲得初始立足點並植入更多惡意軟體,而與俄羅斯團體 Evil Corp 相關的 SocGholish 則透過被駭網站上的虛假瀏覽器更新提示來感染用戶。它們共同構成攻擊的前端,最終導致錢包被清空、帳戶被盜用以及勒索軟體攻擊。
警方查封了 326 台伺服器和 142 個網域,從超過 385,000 個受損系統中追回了近 2,700 萬組被盜憑證,並清理了近 15,000 個受感染網站,其中許多是小型企業。作為行動夥伴的微軟公司,僅在五月的前兩週就發現 Amadey 和 StealC 感染了全球超過 140,000 台電腦。
資訊竊取軟體已成為竊取加密貨幣的主要途徑,它會悄悄地從受害者的設備中竊取錢包文件、私鑰和助記詞。它們利用多種途徑來針對加密貨幣用戶,包括虛假的 AI 工具、Steam 桌布和盜版遊戲模組。
暴露的規模非常龐大。去年底的一次「終局行動」早期行動,就發現了超過 100,000 個加密錢包的登錄資料,這些資料雖然已被竊取,但錢包尚未被清空。
微軟數位犯罪部門(Digital Crimes Unit)另外提起了一項美國勒索訴訟,首次將兩個惡意軟體家族視為單一的犯罪陰謀。調查人員利用包括 Copilot 在內的 AI 工具分析惡意軟體,發現 Amadey 和 StealC 儘管由不同罪犯開發,卻在共享基礎設施上運行,這使得微軟能夠根據《RICO 法案》起訴這兩項行動的促成者,並摧毀超過 200 台命令與控制伺服器。此後,它已識別出超過 18,000 台受害電腦,並開始切斷攻擊者的控制。
.@Microsoft 數位犯罪部門在九個月內已摧毀了五個助長網路犯罪即服務(CaaS)的行動。
網路犯罪仰賴協調。瓦解它也需要同樣的方法,與合作夥伴合作,瓦解促成這些攻擊的系統……
— 微軟議題 (@MSFTIssues) June 24, 2026
此類查封行動很少能徹底根除惡意軟體,且營運者往往會重組,StealC 甚至在本月稍早發布了新的版本。目前,歐洲刑警組織及其合作夥伴正透過 Have I Been Pwned 等服務發送受害者警報,以便用戶檢查其憑證和錢包私鑰是否已落入犯罪份子之手。