ZachXBT condivide la registrazione video del truffatore del falso bot Telegram Safeguard incarcerato

L'investigatore esperto di sicurezza informatica ZachXBT ha condiviso un video registrato sul suo account X, che mostra un hacker noto come vKevin impegnato in una sofisticata truffa tramite un falso bot Safeguard su Telegram. Si ritiene che l'aggressore abbia collaborato con altri attori coinvolti nella truffa mentre si trovava in una scuola di New York.

Il 23 gennaio, ZachXBT, figura nota nella comunità investigativa del mondo delle criptovalute, ha pubblicato sulla piattaforma social X un video di 31 minuti che mostrava "vKevin" mentre utilizzava Telegram per truffare le vittime. Nel video, "vKevin" veniva ripreso mentre collaborava con dei complici in attività di phishing ai danni di ignare vittime.

L'analista della sicurezza crittografica stava rispondendo a un post dell'utente @pcaversaccio, che aveva messo in guardia la comunità crittografica sulla nuova tattica ingannevole su Telegram, che ha descritto come la "più grande minaccia alla sicurezza in questo momento"

Ragazzi, la più grande minaccia alla sicurezza in questo momento è rappresentata dalle persone che eseguono codice alla cieca, invocano comandi oscuri o installano applicazioni solo perché qualcuno o un sito web a caso glielo ha detto. Esempio: smettetela di eseguire alla cieca quei comandi PowerShell _dannosi_ solo perché... pic.twitter.com/vuBDabQJNY

— sudo rm -rf –no-preserve-root / (@pcaversaccio) 23 gennaio 2025

La truffa consisteva nell'ingannare le vittime affinché verificassero la propriadenttramite un falso bot Safeguard. Ciò consentiva all'hacker di ottenere l'accesso non autorizzato ai loro account Telegram e, di conseguenza, ai loro portafogli di trading bot. Una volta lì, gli sfruttatori potevano rubare i beni delle vittime, fino a centinaia di migliaia di dollari in alcuni casi. 

Gli investigatoridentuna nuova pericolosa truffa tramite bot di Telegram 

Secondo una spiegazione fornita da SlowMist, società di sicurezza blockchain, la truffa di Telegram basata sulla falsa protezione sfrutta due metodi di infiltrazione. I truffatori possono sfruttare il bot per indurre gli utenti a fornire informazioni private, tra cui password e codici di verifica. Possono anche installare virus malware per hackerare i computer e rubare direttamente informazioni.

Nell'articolo descritto come gli autori di attacchi informatici creano account falsi di opinion leader chiave (KOL) su X, allegando strategicamente link di invito a gruppi Telegram nei commenti per attiraretracvittime.

Gli utenti che aderiscono alle "community" tramite il link vengono quindi accolti con richieste di "verifica". Se seguono i passaggi, un agente Trojan di accesso remoto (RAT) dannoso rilascia comandi PowerShell che compromettono qualsiasi installazione di sicurezza, consentendo all'hacker di accedere al sistema senza autorizzazione.

In seguito al post di ZachXBT, un utente ha chiesto se l'hacker 'vKevin' fosse stato doxxato, risposta a cui ZachXBT ha risposto con un semplice "sì" 

Finirà a rubare nelle tasche della prigione.

(e sì, hai un aspetto orribile, amico) pic.twitter.com/DKcomKIk6M

— ImNotTheWolf (@ImNotTheWolf) 23 gennaio 2025

In una delle risposte, un utente ha condiviso una foto del presunto sfruttatore, anche se alcuni dettagli specifici, come la sua posizione immediata o con chi stava lavorando, non sono ancora stati resi noti.

Lo stesso hacker è stato responsabile della violazione del server Discord nel 2022

vKevin sarebbe stato responsabile di un'altra violazione di rete che ha causato di NFT il 14 agosto 2022. L'aggiornamento è stato rivelato dall'utente X @Iamdeadlyz, il quale ha spiegato come l'hacker abbia attaccato il server Discord di DigikongNFT, installando un webhook sotto forma di un falso bot MEE6 all'interno del server stesso. 

Questo bot è stato progettato per facilitare un attacco di phishing utilizzando un bookmarklet per esfiltrare i token di autenticazione Discord degli utenti. Il sito di phishing collegato a questo attacco era ospitato su mee6.ca/verify, un dominio registrato tramite il servizio web Namecheap e ospitato su AWS con indirizzo IP 23.22.5.68. 

.@DigikongNFTIl server Discord di

/famousfoxfedaration.netlify.app

🌐@Netlify @NetlifySupport

🚩 @solanasolanafm
852413673053093908

Lo stesso/gli stessi malintenzionati dietro l'attacco @AI_Roulette

dell'impostore @Discord : https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW

— iamdeadlyz (@Iamdeadlyz) 14 agosto 2022

Le prove delle azioni di vKevin sono state condivise sul canale generale del server Discord, sebbene la maggior parte delle informazioni sensibili sia stata censurata.

Namecheap ha poi confermato di aver sospeso il servizio abusivo in risposta a questa violazione della sicurezza, ma vKevin e altri hacker si erano già impossessati delle raccolte NFT.