continúa
9. Adquiera el hábito de revisar periódicamente su seguridad y establecer un procedimiento operativo estándar. Los atacantes pueden permanecer inactivos y esperar el momento adecuado para atacar después de esperar mucho tiempo.
FWIW, tengo una billetera de hardware, esta no se vio comprometida. Sí, obviamente deberías usar carteras de hardware cuando puedas. Además, aquellos que alegan que esto es para evadir impuestos, sepan que los impuestos por robo o piratería ya no se pueden deducir desde después de 2017.
La cifra final es de unos 677.000 dólares. Desafortunadamente, el usuario ha comenzado a hacer Tornado. Tengo algunas pistas adicionales sobre el atacante, pero las mantendré discretas en este momento para seguir determinando la identidad del usuario. Desde entonces, también presenté un informe policial e informé a los CEX que algunos de mis fondos los envió el atacante.
Es una posibilidad remota, pero estoy dispuesto a ofrecer una recompensa de 150.000 dólares por la devolución de los fondos, sin hacer preguntas y sin más investigaciones. También consideraría un servicio forense basado en recompensas (servicios de pago por adelantado, no se moleste). Una lección cara, pero sigo aquí. Un revés doloroso, pero el espectáculo debe continuar.
La investigación anterior fue motivada por esta publicación:
(@vender9000
Me acabo de dar cuenta de que me drenaron $500,000 de varias aplicaciones de billetera hace 46 horas
Creo que me atacaron una extensión, con dos extensiones sospechosas que aparecieron en mi navegador Chrome.
no se siente bien familia
todavía investigando)
LIVEAnuncio de servicio público sobre: una costosa lección de operación de seguridad
En este momento he confirmado que fue un inicio de sesión de Google lo que provocó este compromiso. Una máquina Windows desconocida obtuvo acceso aproximadamente medio día antes del ataque. También falsificó el nombre del dispositivo, por lo que la notificación de la alerta de nueva actividad (que ocurrió temprano en la mañana mientras dormía) parecía similar a la de los dispositivos que uso normalmente (puede haber sido una apuesta calculada para un nombre de dispositivo común a menos que estuviera específicamente dirigido a mí). ).
Tras una investigación más profunda, este dispositivo es un VPS alojado por #KaopuCloud como un proveedor de nube de borde global que se comparte entre los círculos de hackers en Telegram y ha sido utilizado en el pasado para #phishing y otras actividades maliciosas por parte de usuarios compartidos.
Tengo 2FA habilitado, que el usuario logró omitir. Todavía tengo que determinar exactamente cómo se logró esto, pero posiblemente los vectores de ataque fueron phishing OAuth, secuencias de comandos entre sitios o ataque de intermediario en un sitio comprometido, seguido de un posible #Malware adicional. De hecho, aparentemente #OAuth ataque a punto final recientemente Se ha informado que secuestra la sesión de cookies del usuario (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Tenga mucho cuidado si tiene que utilizar Iniciar sesión desde Google.
Conclusiones:
1. Bitdefender apesta, no detectó nada, mientras que Malwarebytes detectó un montón de vulnerabilidades después del hecho.
2. No te vuelvas complaciente sólo porque estuviste moviendo grandes cifras durante años sin problemas.
3. Nunca introduzcas una semilla, punto, sin importar la excusa razonable que te des. No vale la pena correr el riesgo, simplemente bombardee la computadora y comience de nuevo.
4. Ya terminé con Chrome, quédate con un navegador mejor como Brave.
5. Preferiblemente nunca mezclar dispositivos y tener un dispositivo aislado para actividades criptográficas.
6. Siempre verifique la alerta de Actividad de Google si continúa usando dispositivos o autenticación basados en Google.
7. Desactive la sincronización de extensiones. O simplemente desactive el período de sincronización para su máquina criptográfica aislada.
8. Está claro que la 2FA no es a prueba de balas, no se confíe en ella.
