假冒「Pudgy World」網站誘騙玩家交出加密貨幣錢包密碼

在 3 月 10 日遊戲推出數天後,針對 Pudgy Penguins 的 Pudgy World 遊戲玩家的網路釣魚攻擊被識別出來,該攻擊使用假冒網站竊取加密貨幣錢包憑證。

網路安全公司 Malwarebytes 表示,該網站模仿用於遊戲內物品和數位收藏品的合法錢包連接流程。 

該頁面託管於 pudgypengu-gamegifts[.]live,包含 11 個量身打造的錢包介面,旨在模仿不同的供應商,顯示這是一個協調且資源密集的設置。

所有這一切的實際後果是,自動掃描工具可能會將初始頁面評為良性,因為在它們的基礎設施上,該頁面表現得像良性頁面。除非攻擊者的伺服器判斷訪問者值得鎖定,否則惡意功能永遠不會載入。

Stefan Dasic, Malwarebytes Labs.

相關:美國參議院關注 4 月對具里程碑意義的加密貨幣市場結構法案的投票

Pudgy Penguins 或 Igloo Inc 尚未發布公開回應。

硬體錢包陷阱

該攻擊專注於提取助記詞,特別是針對硬體錢包使用者。當偽造的連接過程失敗時,使用者會被重新導向到手動輸入選項,該選項要求提供恢復憑證,然後被攻擊者捕獲。

該網站還包含規避機制以避免被檢測。它會檢查虛擬機器、自動分析工具和其他研究環境。 

如果檢測到此類條件,惡意元件不會載入,從而限制安全研究人員的曝光。

不過,這並非第一次與 Pudgy Penguins 相關的網路釣魚攻擊。2024 年 12 月,另一個行動使用惡意 Google 廣告和嵌入式腳本來識別加密貨幣錢包,然後將使用者重新導向到詐騙頁面。

由 Igloo Inc 管理的 Pudgy Penguins NFT 系列價值大幅下跌。其地板價從 2024 年 12 月的 36.33 ETH 下跌了 88.3% 至 4.10 ETH,約 8,500 美元(12,000 澳元)。

網路釣魚仍然是加密貨幣平台(以及基本上整個網路)上的持續風險。FBI 2024 年數據記錄了 193,407 起網路釣魚和欺騙事件,報告的損失超過 7,000 萬美元(1.07 億澳元)。

相關:Kalshi 抨擊亞利桑那州指控為預測市場對決中的「越權」

假冒「Pudgy World」網站誘使遊戲玩家交出加密貨幣錢包密碼一文首次發表於 Crypto News Australia。