La società di cybersecurity Kaspersky ha scoperto una truffa unica che prende di mira i ladri di criptovalute. Lo schema attira aspiranti opportunisti con wallet di criptovalute apparentemente carichi, solo per drenare i loro fondi quando tentano di accedere alla trappola. Questo ingegnoso espediente dimostra la crescente sofisticazione dei criminali informatici nello spazio degli asset digitali.

Secondo Kaspersky, i principali truffatori si spacciano per utenti di criptovalute ingenui condividendo pubblicamente frasi seed, le chiavi necessarie per accedere ai wallet di criptovalute, nei commenti di YouTube. Questi commenti, pubblicati da account appena creati, includono spesso una richiesta di assistenza nel trasferire fondi da un wallet che si suppone contenga asset significativi.

“I truffatori hanno inventato un nuovo trucco…Pubblicano frasi seed dei wallet di criptovalute nei commenti di YouTube utilizzando account appena creati,” ha dettagliato l'analista di Kaspersky Mikhail Sytnik in un recente post sul blog.

Non c'è onore tra ladri – Come funziona la truffa della chiave privata

Un wallet osservato da Kaspersky conteneva circa $8.000 in USDT sulla rete Tron. Per accedere a questi fondi, un ladro dovrebbe prima inviare TRX, il token nativo della blockchain, per coprire le spese di rete.

Transazioni truffaldine: Fonte – Tron Network

Lo schema predilige principalmente gli individui che cercano di sfruttare il presunto errore “stupido” degli altri. Una volta dentro il wallet trappola, questi ladri digitali lo trovano pieno di USDT, un token TRC20 legato al dollaro statunitense.

Poiché il wallet non ha TRX sufficienti per i prelievi, vengono invitati a inviare fondi dai propri wallet. Questa azione attiva il “siphon,” deviando il TRX all'indirizzo del truffatore.

Transazioni truffaldine: Fonte – Tron Network

I truffatori hanno manomesso il sistema e, non appena il TRX viene inviato, viene immediatamente reindirizzato a un wallet separato controllato dagli aggressori, lasciando il ladro a mani vuote.

L'analisi di Kaspersky ha paragonato i truffatori a Robin Hood digitali, prendendo di mira attori non etici nello spazio delle criptovalute. Tuttavia, le vere vittime rimangono coloro che lasciano che la loro avidità superi la loro cautela.

La società di sicurezza sta esortando gli utenti di criptovalute a fare attenzione all'uso ripetuto di frasi seed identiche in più commenti. Questo potrebbe essere un'operazione ben pianificata e coordinata per rubare i loro beni.

Campagne di truffa mirate agli utenti di criptovalute

I risultati di Kaspersky si estendono oltre le truffe delle frasi seed. Ad agosto, il Team di Risposta Globale alle Emergenze (GERT) dell'azienda ha identificato una campagna di frode più ampia mirata agli utenti di Windows e macOS in tutto il mondo.

Questa operazione utilizza siti web falsi ben curati per imitare servizi legittimi, come piattaforme di criptovalute, giochi di ruolo online e strumenti di intelligenza artificiale. Queste sofisticate imitazioni sono progettate per attirare le vittime a condividere informazioni sensibili o scaricare malware.

“La correlazione tra le diverse parti di questa campagna e la loro infrastruttura condivisa suggerisce un'operazione ben organizzata, possibilmente legata a un singolo attore o gruppo con specifici motivi finanziari,” ha dichiarato Ayman Shaaban, Responsabile della Risposta agli Incidenti del GERT di Kaspersky.

Denominata “Tusk,” l'indagine di Kaspersky ha rivelato che la campagna include varie sub-operazioni mirate a temi legati a criptovalute, giochi e intelligenza artificiale. L'infrastruttura malevola si estende anche a 16 altri temi, che siano sub-campagne ritirate o nuove ancora da lanciare.

Stringhe di codice dannoso scoperte durante l'indagine mostrano comunicazioni tra i server degli aggressori in russo, con riferimenti al termine “Mammoth” (“Мамонт”), gergo per “vittima” tra gli attori delle minacce di lingua russa. Questo indizio linguistico ha contribuito al nome della campagna.

La campagna Tusk utilizza malware info-stealer come Danabot e Stealc, oltre a clipper che monitorano gli appunti, alcuni dei quali sono varianti open-source scritte in Go. Gli info-stealer estraggono credenziali, dettagli del wallet e altre informazioni sensibili, mentre i clipper intercettano gli indirizzi dei wallet di criptovalute copiati negli appunti, sostituendoli con indirizzi dannosi controllati dagli aggressori.

Da Zero a Web3 Pro: Il tuo Piano di Lancio Professionale di 90 Giorni