Siddartha-90/Threat-Intelligence-Analysis-Fake-Crypto-Exchange-Phishing-Campaign

# 威胁情报分析：虚假加密货币交易所钓鱼活动 ## 1. 执行摘要 本报告详细分析了利用虚假加密货币交易所实施预付款诈骗的社会工程学和钓鱼活动。威胁行为者利用极端的情感诱饵——捏造的心理健康危机和告别信息——通过 Facebook Messenger 进行传播，以此分发指向欺诈平台的凭证。 ## 2. 事件 Artifact * **传播途径：** Facebook Messenger（私信） * **发送者资料：** "Dinel Kiba"（极可能是被盗账户或克隆身份） * **证据：** 初始联系截图记录为 `image_512a34.png` * **诱饵：** 虚假遗产 / 最终告别 * **目标域名：** `www.jwz.cc` * **提供的凭证：** * 用户名：`fgh246` * 密码：`hb2364` * **声称的余额：** 6,303,050.5 USDT($) ## 3. 被动 OSINT 与基础设施分析 *在不直接与目标 Web 服务器交互的情况下收集的信息。* * **Facebook 资料侦察：** * *账户审计：* 审查账户创建日期、时间线历史和 URL 字符串（例如 `facebook.com/username`），以确定该账户是最近被盗还是专为发送垃圾信息而创建。 * *反向图像搜索：* 提取 `image_512a34.png` 中可见的头像，并通过 Google Lens 或 TinEye 进行分析，以识别潜在的身份盗用或库存图片。 * **域名与 IP 调查：** * *WHOIS 记录：*（运行 `whois jwz.cc` 并记录注册商、创建日期和到期日期）。 * *DNS 记录：*（运行 `dig jwz.cc ANY` 以识别托管服务商和解析的 IP）。 * *信誉检查：*（在 VirusTotal、URLhaus 或 AbuseIPDB 中查询历史恶意活动）。 ## 4. 主动分析与拦截 *在隔离的 VM 环境中与域名交互得出的观察结果。* * **HTTP/TLS 检查：**（运行 `curl -I https://www.jwz.cc` 以映射服务器标头）。 * **流量拦截 (Burp Suite)：** * *观察：* 导航至该网站会呈现一个登录门户。 * *身份验证：* 提交提供的凭证（`fgh246` / `hb2364`）。 * *POST 请求分析：*（记录 payload 结构。评估数据是否安全传输，并识别后端 API endpoint）。 * **平台功能与漏洞利用链：** * *观察：* 登录后的仪表板人为地显示了 630 万 USDT 的余额。 * *陷阱：* 尝试提款会触发二次提示，要求向攻击者控制的外部钱包预先存入加密货币（例如“账户激活费”、“gas 费”或“税费”）。 ## 5. 攻陷指标 * **域名：** `jwz.cc` * **IP 地址：**（插入从 DNS 记录中解析出的 IP） * **攻击者钱包：**（记录该平台为收取欺诈性“费用”而提供的任何加密货币地址）。 ## 6. 结论 域名 `jwz.cc` 作为虚假的加密货币仪表板运行，旨在实施预付款诈骗，主要通过被盗或虚假的 Facebook 账户传播。该站点不具备任何合法的交易功能，完全依靠社会工程学和前端篡改来欺骗目标，使其将真实资产转移给威胁行为者。

标签：ESC4, ESC8, OSINT, 威胁情报, 开发者工具, 欺诈防护, 社会工程学, 钓鱼攻击分析