Attori malintenzionati stanno distribuendo malware per rubare criptovalute utilizzando una sofisticata combinazione di account X falsi e bot malevoli su Telegram.

La società di sicurezza Web3 ScamSniffer ha avvertito di una nuova truffa che prende di mira gli utenti di criptovalute mimando influencer popolari nel settore e svuotando i loro portafogli utilizzando malware furtivo.

L'attacco inizia quando i truffatori creano account X falsi spacciandosi per influencer popolari delle criptovalute e promuovendo gruppi Telegram che promettono di offrire consigli sugli investimenti. Questi gruppi vengono spesso pubblicizzati come “esclusivi” e sono tipicamente promossi sotto i post degli influencer che i truffatori stanno imitando per farli sembrare legittimi.

Quando gli utenti ignari si uniscono al gruppo tramite il link di invito, vengono invitati a verificarsi utilizzando un bot di verifica Telegram chiamato “OfficialSafeguardBot” che, secondo ScamSniffer, “crea urgenza artificiale” dando agli utenti pochissimo tempo per completare il captcha.

Potresti anche essere interessato: Cado Security Labs segnala nuovo malware che prende di mira i portafogli crypto su Windows e macOS

Durante questo falso processo di verifica, il bot inietta “codice PowerShell malevolo”, un linguaggio di scripting utilizzato per l'automazione dei compiti in Windows, negli appunti della vittima, e le vittime vengono ingannate a eseguirlo su Windows mentre il bot lo presenta come un passaggio necessario per completare il processo di verifica. Vedi sotto.

Bot di verifica Telegram che invita gli utenti a eseguire codice malevolo. Fonte: ScamSniffer su X

Secondo ScamSniffer, ci sono stati “numerosi casi recentemente” in cui sono state utilizzate tattiche simili per rubare le chiavi private di un utente. Il malware è riuscito anche a eludere diversi antivirus, con solo VirusTotal che lo segnala come malevolo.

Per proteggersi, si consiglia agli utenti di utilizzare portafogli hardware, evitare di eseguire comandi sconosciuti e di non installare software non verificato.

Il rapporto segue un avviso precedente di ScamSniffer su un aumento degli account X falsi a dicembre. In particolare, gli account di impersonificazione sono aumentati di oltre l'87% da novembre, e due vittime hanno perso oltre $3 milioni cliccando su link malevoli promossi tramite alcuni di questi account.

Negli ultimi mesi, gli attori delle minacce hanno sempre più spesso fatto ricorso a malware progettato per svuotare gli asset crypto. Questo aumento coincide con il rally di Bitcoin a $100.000 e un rialzo più ampio delle altcoin, rendendo il settore crypto sempre più redditizio per i truffatori.

Il 9 dicembre, Cado Security Labs ha segnalato il malware Realst che infiltrava i sistemi degli utenti utilizzando un'app di riunione falsa dopo averli ingannati a credere che avessero bisogno di scaricare l'app per un'opportunità commerciale legittima o per interagire con un contatto fidato.

Una volta distribuito, il malware ruba asset crypto, credenziali memorizzate nel browser, dettagli delle carte bancarie e altre informazioni sensibili.

A ottobre, il protocollo di finanza decentralizzata Radiant Capital ha perso oltre $50 milioni dopo che i sistemi di alcuni sviluppatori della piattaforma sono stati compromessi tramite un file PDF zippato contenente malware. L'attacco ha coinvolto ingegneria sociale, con il file infetto promosso tramite Telegram da un attaccante che si spacciava per un ex appaltatore fidato.

Leggi di più: L'analisi post-mortem rivela che l'iniezione furtiva di malware ha portato a un exploit da $50 milioni per Radiant Capital