Злоумышленники разворачивают вредоносное ПО для кражи криптовалюты, используя сложное сочетание поддельных аккаунтов X и вредоносных Telegram-ботов.

Компания по безопасности Web3 ScamSniffer предупредила о новом мошенничестве, нацеленном на пользователей криптовалюты, имитируя популярных влиятельных личностей в этой области и крадя их кошельки с помощью скрытного вредоносного ПО.

Атака начинается, когда мошенники создают поддельные аккаунты X, выдавая себя за популярных влиятельных лиц в криптовалюте и рекламируя группы в Telegram, которые обещают предоставить инвестиционные советы. Эти группы часто рекламируются как “эксклюзивные” и, как правило, продвигаются под постами влиятельных лиц, которых мошенники имитируют, чтобы выглядеть законными.

Когда ничего не подозревающие пользователи присоединяются к группе по приглашению, их просят подтвердить свою личность с помощью Telegram-бота для верификации под названием “OfficialSafeguardBot”, который, по данным ScamSniffer, “создает искусственную срочность”, предоставляя пользователям очень мало времени для завершения капчи.

Вам также может понравиться: Лаборатория Cado Security отметила новое вредоносное ПО, нацеленное на криптовалютные кошельки на Windows и macOS

Во время этого фальшивого процесса верификации бот внедряет “вредоносный PowerShell код”, язык сценариев, используемый для автоматизации задач в Windows, в буфер обмена жертвы, и жертвы обманываются, заставляя их выполнять его в Windows, поскольку бот предлагает это как шаг, необходимый для завершения процесса верификации. См. ниже.

Telegram-бот для верификации, призывающий пользователей запускать вредоносный код. Источник: ScamSniffer на X

Согласно ScamSniffer, в последнее время было “много случаев”, когда аналогичные тактики использовались для кражи закрытых ключей пользователя. Вредоносное ПО также смогло обойти несколько антивирусов, и только VirusTotal пометил его как вредоносное.

Для защиты себя пользователям рекомендовали использовать аппаратные кошельки, избегать выполнения неизвестных команд и не устанавливать непроверенное программное обеспечение.

Отчет следует за предыдущим предупреждением от ScamSniffer о росте поддельных аккаунтов X в декабре. Примечательно, что количество аккаунтов-имитаторов увеличилось более чем на 87% с ноября, и две жертвы потеряли более 3 миллионов долларов, кликнув на вредоносные ссылки, рекламируемые через некоторые из этих аккаунтов.

В последние месяцы злоумышленники все чаще прибегают к использованию вредоносного ПО, предназначенного для кражи криптоактивов. Этот всплеск совпадает с ростом биткойна до 100,000 долларов и общим ростом альткойнов, что делает сектор криптовалюты все более прибыльным для мошенников.

9 декабря лаборатория Cado Security отметила вредоносное ПО Realst, проникающее в системы пользователей с помощью поддельного приложения для встреч после социальной инженерии, заставляющей их поверить, что им необходимо загрузить приложение для законной бизнес-возможности или взаимодействия с доверенным контактом.

После развертывания вредоносное ПО крадет криптоактивы, сохраненные в браузере учетные данные, данные банковских карт и другую конфиденциальную информацию.

В октябре децентрализованный финансовый протокол Radiant Capital потерял более 50 миллионов долларов после того, как системы некоторых разработчиков платформы были скомпрометированы через заархивированный PDF-файл, содержащий вредоносное ПО. Атака включала социальную инженерию, при этом зараженный файл рекламировался в Telegram злоумышленником, выдающим себя за доверенного бывшего подрядчика.

Читать далее: Посмертный анализ показывает, что скрытая инъекция вредоносного ПО привела к эксплуатации Radiant Capital на 50 миллионов долларов