Зловмисники розгортають шкідливе ПЗ для крадіжки криптовалюти, використовуючи складну комбінацію фальшивих акаунтів X та шкідливих телеграм-ботів.
Фірма з безпеки Web3 ScamSniffer попередила про нову аферу, яка націлена на користувачів криптовалюти, імітуючи популярних інфлюенсерів у цій сфері та крадучи їх гаманці за допомогою непомітного шкідливого ПЗ.
Атака починається, коли шахраї створюють фальшиві акаунти X, видаючи себе за популярних інфлюенсерів криптовалюти та просуваючи телеграм-групи, які обіцяють надати інвестиційні поради. Ці групи часто рекламуються як “ексклюзивні” і зазвичай просуваються під постами інфлюенсерів, яких шахраї імітують, щоб виглядати легітимно.
Коли нічого не підозрюючі користувачі приєднуються до групи за запрошувальним посиланням, їх просять пройти верифікацію за допомогою телеграм-бота для верифікації під назвою “OfficialSafeguardBot”, який, за даними ScammSniffer, “створює штучну терміновість”, надаючи користувачам дуже мало часу для завершення капчі.
Вам також може сподобатися: Cado Security Labs позначає нове шкідливе ПЗ, що націлене на криптогаманці на Windows та macOS
Під час цього фальшивого процесу верифікації бот вставляє “шкідливий код PowerShell”, мову сценаріїв, що використовується для автоматизації завдань в Windows, у буфер обміну жертви, і жертви вводяться в оману, виконуючи його в Windows, оскільки бот подає його як крок, необхідний для завершення процесу верифікації. Дивіться нижче.
Телеграм-бот для верифікації, що спонукає користувачів виконувати шкідливий код. Джерело: ScamSniffer на X
За даними ScamSniffer, останнім часом було “безліч випадків”, коли подібні тактики використовувалися для крадіжки приватних ключів користувачів. Шкідливе ПЗ також змогло обійти кілька антивірусів, лише VirusTotal позначив його як шкідливе.
Щоб захистити себе, користувачам рекомендується використовувати апаратні гаманці, уникати виконання невідомих команд і не встановлювати неперевірене програмне забезпечення.
Звіт слідує за попереднім попередженням для ScamSniffer про сплеск фальшивих акаунтів X у грудні. Зокрема, кількість акаунтів-імітаторів зросла на понад 87% з листопада, і двоє жертв втратили понад 3 мільйони доларів, натиснувши на шкідливі посилання, що просувалися через деякі з цих акаунтів.
За останні місяці злочинці все частіше вдаються до використання шкідливого ПЗ, призначеного для витоку криптоактивів. Цей сплеск збігається з підйомом біткоїна до 100 000 доларів та загальним зростанням альткоїнів, що робить криптосектор дедалі привабливішим для шахраїв.
9 грудня Cado Security Labs позначила шкідливе ПЗ Realst, яке проникає в системи користувачів, використовуючи фальшивий додаток для зустрічей після соціальної інженерії, вважаючи, що їм потрібно завантажити додаток для законної бізнес-можливості або взаємодії з надійним контактом.
Після розгортання шкідливе ПЗ краде криптоактиви, збережені в браузері облікові дані, дані банківських карток та іншу чутливу інформацію.
У жовтні децентралізований фінансовий протокол Radiant Capital втратив понад 50 мільйонів доларів після того, як системи деяких розробників платформи були скомпрометовані через заархівований PDF-файл, що містив шкідливе ПЗ. Атака включала соціальну інженерію, а інфікований файл просувався через Telegram зловмисником, який видавав себе за надійного колишнього підрядника.
Читати далі: Посмертний аналіз показує, що приховане введення шкідливого ПЗ призвело до експлуатації Radiant Capital на 50 мільйонів доларів