Компания по кибербезопасности Kaspersky раскрыла уникальную аферу, нацеленную на криптоворов. Схема заманивает потенциальных авантюристов, казалось бы, загруженными криптокошельками, только чтобы выкачать их средства, когда они попытаются получить доступ к приманке. Эта изобретательная уловка демонстрирует растущую изощренность киберпреступников в сфере цифровых активов.

По данным Касперского, главные мошенники выдают себя за наивных пользователей криптовалюты, публично делясь сид-фразами, ключами, необходимыми для доступа к криптокошелькам, в комментариях на YouTube. Эти комментарии, публикуемые недавно созданными аккаунтами, часто включают в себя просьбу о помощи в переводе средств с кошелька, предположительно содержащего значительные активы.

«Мошенники изобрели новый трюк... Они публикуют начальные фразы криптокошельков в комментариях на YouTube, используя вновь созданные аккаунты», детализировал аналитик Касперского Михаил Сытник в недавнем блоге.

У воров нет чести – как работает мошенничество с приватными ключами

В одном из кошельков, наблюдаемых Касперским, содержалось примерно 8000 долларов в USDT в сети Tron. Чтобы получить доступ к этим средствам, вор сначала должен отправить TRX, родной токен блокчейна, чтобы покрыть сетевые сборы.

Мошеннические сделки: источник – Tron Network

Схема в первую очередь нацелена на людей, стремящихся воспользоваться предположительно «глупой» ошибкой других. Оказавшись внутри ловушки, эти цифровые воры находят кошелек, заполненный USDT, токеном TRC20, привязанным к доллару США.

Поскольку в кошельке недостаточно TRX для выводов, их просят отправить средства со своих собственных кошельков. Это действие запускает «сосок», перенаправляя TRX на адрес мошенника.

Мошеннические сделки: источник – Tron Network

Мошенники подстроили систему, и как только TRX отправляется, он немедленно перенаправляется на отдельный кошелек, контролируемый нападающими, оставляя вора с пустыми руками.

Анализ Касперского сравнил мошенников с цифровыми Робин Гудами, нацеленными на неэтичные действия в крипто-пространстве. Однако конечными жертвами остаются те, кто позволяет своей жадности превзойти осторожность.

Безопасностная компания призывает криптопользователей быть осторожными с повторяющимся использованием идентичных начальных фраз в нескольких комментариях. Это может быть хорошо спланированная и скоординированная операция по краже их активов.

Мошеннические кампании, нацеленные на криптопользователей

Выводы Касперского выходят за рамки мошенничеств с начальными фразами. В августе глобальная группа реагирования на чрезвычайные ситуации (GERT) компании выявила более крупную мошенническую кампанию, нацеленную на пользователей Windows и macOS по всему миру.

Эта операция использует полированные поддельные веб-сайты для имитации легитимных услуг, таких как криптоплатформы, онлайн-ролевые игры и инструменты ИИ. Эти сложные имитации предназначены для того, чтобы заманить жертв к раскрытию конфиденциальной информации или загрузке вредоносного ПО.

«Корреляция между различными частями этой кампании и их общей инфраструктурой свидетельствует о хорошо организованной операции, возможно, связанной с одним актером или группой с конкретными финансовыми мотивами», заявил Айман Шаабан, руководитель группы реагирования на инциденты в GERT Касперского.

Названная «Tusk», расследование Касперского показало, что кампания включает различные подоперации, нацеленные на темы криптовалюты, игр и ИИ. Вредоносная инфраструктура также охватывает 16 других тем, либо устаревших подкампаний, либо новых, которые еще не были запущены.

Строки вредоносного кода, обнаруженные в ходе расследования, показывали связь между серверами нападающих на русском языке с упоминанием термина «Мамонт», сленга для «жертвы» среди русскоязычных злоумышленников. Эта языковая подсказка способствовала названию кампании.

Кампания Tusk использует вредоносное ПО для кражи информации, такое как Danabot и Stealc, а также мониторящие буфер обмена программы, некоторые из которых являются открытыми вариантами, написанными на Go. Вредоносные программы извлекают учетные данные, детали кошельков и другую конфиденциальную информацию, в то время как программы для перехвата заменяют адреса криптовалютных кошельков, скопированные в буфере обмена, на вредоносные адреса, контролируемые нападающими.

От нуля до Web3 Pro: ваш 90-дневный план запуска карьеры