Kaspersky: i principali truffatori prendono di mira i ladri digitali con false chiavi di criptovaluta per rubare fondi

L'azienda di sicurezza informatica Kaspersky ha scoperto una truffa unica nel suo genere che prende di mira i ladri di criptovalute. Il sistema attira potenziali opportunisti con portafogli di criptovalute apparentemente pieni, per poi sottrarre i loro fondi quando tentano di accedere all'esca. Questo stratagemma ingegnoso dimostra la crescente sofisticazione dei criminali informatici nel settore delle risorse digitali.

Secondo Kaspersky, i principali truffatori si spacciano per ingenui utenti di criptovalute condividendo pubblicamente frasi seed, le chiavi necessarie per accedere ai wallet di criptovalute, nei commenti su YouTube. Questi commenti, pubblicati da account appena creati, spesso includono una richiesta di assistenza per il trasferimento di fondi da un wallet che presumibilmente contiene asset significativi. 

"I truffatori hanno inventato un nuovo trucco... Pubblicano le frasi di recupero dei portafogli di criptovalute nei commenti di YouTube utilizzando account appena creati", ha spiegato l'analista di Kaspersky Mikhail Sytnik in un recente post sul blog.

Non c'è onore tra i ladri: come funziona la truffa della chiave privata

Un portafoglio osservato da Kaspersky conteneva circa 8.000 dollari in USDT sulla rete Tron . Per accedere a questi fondi, un ladro avrebbe dovuto prima inviare TRX, il token nativo della blockchain, per coprire le commissioni di rete. 

Lo schema prende di mira principalmente individui che cercano di sfruttare l'errore presumibilmente "insensato" altrui. Una volta all'interno del portafoglio esca, questi ladri digitali lo trovano pieno di USDT, un token TRC20 legato al dollaro statunitense. 

Poiché il portafoglio non dispone di TRX sufficienti per i prelievi, viene richiesto di inviare fondi dai propri portafogli. Questa azione innesca il "sifone", ovvero il dirottamento dei TRX verso l'indirizzo del truffatore.

I truffatori hanno manomesso il sistema e, non appena il TRX viene inviato, viene immediatamente reindirizzato a un portafoglio separato controllato dagli aggressori, lasciando il ladro a mani vuote.

L'analisi di Kaspersky ha paragonato i truffatori a dei Robin Hood digitali, che prendono di mira attori poco etici nel settore delle criptovalute. Tuttavia, le vittime più colpite rimangono coloro che lasciano che l'avidità prevalga sulla cautela. 

La società di sicurezza informatica esorta gli utenti di criptovalute a prestare attenzione all'uso ripetuto di seed phrasedentin più commenti. Potrebbe trattarsi di un'operazione ben pianificata e coordinata per rubare i loro asset.

Campagne di truffa che prendono di mira gli utenti di criptovalute

Le scoperte di Kaspersky vanno oltre le truffe basate su seed phrase. Ad agosto, il Global Emergency Response Team (GERT) dell'azienda hadentuna campagna fraudolenta più ampia, rivolta agli utenti Windows e macOS in tutto il mondo. 

Questa operazione utilizza siti web falsi e ben fatti per imitare servizi legittimi, come piattaforme di criptovaluta, giochi di ruolo online e strumenti di intelligenza artificiale. Queste imitazioni sofisticate sono progettate per indurre le vittime a condividere informazioni sensibili o a scaricare malware.

"La correlazione tra le diverse parti di questa campagna e la loro infrastruttura condivisa suggerisce un'operazione ben organizzata, probabilmente collegata a un singolo attore o gruppo con specifiche motivazioni finanziarie", ha affermato Ayman Shaaban, responsabile della risposta aglident presso GERT di Kaspersky.

Denominata "Tusk", l'indagine di Kaspersky ha rivelato che la campagna comprende diverse sotto-operazioni che prendono di mira argomenti legati a criptovalute, videogiochi e intelligenza artificiale. L'infrastruttura malevola si estende anche ad altri 16 temi, tra cui sotto-campagne dismesse e nuove campagne ancora da lanciare.

Le stringhe di codice dannoso scoperte durante l'indagine hanno mostrato comunicazioni tra i server degli aggressori in russo, con riferimenti al termine "Mammoth" ("Мамонт"), termine gergale che significa "vittima" tra gli autori delle minacce di lingua russa. Questo indizio linguistico ha contribuito al nome della campagna.

campagna Tusk impiega malware info-stealer come Danabot e Stealc, nonché clipper per il monitoraggio degli appunti, alcuni dei quali sono varianti open source scritte in Go. Gli info-stealer estraggonotrac,dentdettagli del portafoglio e altre informazioni sensibili, mentre i clipper intercettano gli indirizzi dei portafogli di criptovaluta copiati negli appunti, sostituendoli con dannosi controllati dagli aggressori.