ZachXBT compartilha gravação em vídeo de golpista que usa bot falso do Safeguard no Telegram e é preso

O especialista em segurança de criptomoedas ZachXBT compartilhou uma gravação de vídeo em sua conta X, expondo um hacker conhecido como vKevin durante um sofisticado golpe por meio de um bot falso do Telegram da Safeguard. Acredita-se que o criminoso estivesse trabalhando com outros participantes do golpe enquanto estudava em uma escola de Nova York.

Em 23 de janeiro, ZachXBT, uma figura conhecida na comunidade investigativa de criptomoedas, publicou um vídeo de 31 minutos na plataforma de mídia social X, no qual 'vKevin' aparece usando o Telegram para extorquir dinheiro de vítimas. No vídeo, 'vKevin' é visto colaborando com cúmplices enquanto praticam golpes de phishing direcionados a vítimas inocentes.

O analista de segurança de criptomoedas estava respondendo a uma publicação feita pelo usuário @pcaversaccio, que havia alertado a comunidade cripto sobre uma nova tática enganosa no Telegram, que ele descreveu como a "maior ameaça à segurança no momento"

Pessoal, a maior ameaça à segurança agora é gente executando código sem pensar, invocando comandos obscuros ou instalando aplicativos só porque alguém aleatório ou algum site mandou. Exemplo: Parem de executar esses comandos maliciosos do PowerShell sem pensar, só porque sim… pic.twitter.com/vuBDabQJNY

— sudo rm -rf –no-preserve-root / (@pcaversaccio) 23 de janeiro de 2025

O golpe consistia em enganar as vítimas para que verificassem suadentpor meio de um bot falso da Safeguard. Isso permitia que o hacker obtivesse acesso não autorizado às suas contas do Telegram e, consequentemente, às carteiras de seus bots de negociação. Uma vez lá dentro, os exploradores podiam roubar os ativos das vítimas, chegando a centenas de milhares de dólares em alguns casos. 

Investigadoresdentnovo golpe perigoso com bot do Telegram 

De acordo com uma explicação da empresa de segurança blockchain SlowMist, publicada no Medium, o golpe do falso bot do Telegram utiliza dois métodos de infiltração. Os golpistas podem usar o bot para solicitar informações privadas dos usuários, como senhas e códigos de verificação. Eles também podem instalar vírus de malware para invadir computadores e roubar informações diretamente.

No artigo publicado em 18 de janeiro, a SlowMist descreveu como agentes maliciosos criam contas falsas de líderes de opinião (KOLs) no Telegram, inserindo estrategicamente links de convite para grupos do Telegram em comentários paratracpotenciais vítimas.

Os usuários que se juntam às “comunidades” através do link são então recebidos com solicitações para um processo de “verificação”. Se seguirem os passos, um agente Trojan de acesso remoto (RAT) malicioso libera comandos PowerShell que comprometem quaisquer instalações de segurança, permitindo que o hacker acesse o sistema sem autorização.

Após a publicação de ZachXBT, um usuário perguntou se o hacker 'vKevin' havia sido exposto, ao que ZachXBT confirmou com um simples "sim" 

Ele vai ficar guardando carteiras na prisão.

(E sim, você está feio, cara.) pic.twitter.com/DKcomKIk6M

— ImNotTheWolf (@ImNotTheWolf) 23 de janeiro de 2025

Em uma das respostas, um usuário compartilhou uma foto do suposto explorador, embora alguns detalhes específicos, como sua localização exata ou com quem ele estava trabalhando, ainda não tenham sido divulgados.

O mesmo hacker foi responsável pela invasão do servidor do Discord em 2022

Supostamente, vKevin foi responsável por outra violação de rede que resultou em prejuízos de mais de US$ 300.000 para detentores de NFTs em 14 de agosto de 2022. A informação foi divulgada pelo usuário @Iamdeadlyz do X. Ele explicou como o hacker atacou o Discord da DigikongNFT ao implantar um webhook disfarçado de bot MEE6 dentro do servidor. 

Este bot foi projetado para facilitar um ataque de phishing usando um bookmarklet para extrair tokens de autenticação do Discord de usuários. O site de phishing vinculado a este ataque estava hospedado em mee6.ca/verify, um domínio registrado através do serviço web Namecheap e hospedado na AWS com o endereço IP 23.22.5.68. 

/famousfoxfedaration.netlify.app@DigikongNFTO servidor Discord do

ID

🌐@Netlify @NetlifySupport

🚩 @solanafm
3HZmQ7TVkhcuPu5jb349LARJYP8LMVC7U31qsCuYCkso

O(s) mesmo(s) agente(s) malicioso(s) por trás do ataque @AI_Roulette.

do impostor Discord do https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW

— iamdeadlyz (@Iamdeadlyz) 14 de agosto de 2022

As evidências das ações de vKevin foram compartilhadas no canal geral do servidor Discord, embora a maior parte das informações sensíveis tenha sido ocultada.

A Namecheap confirmou posteriormente que havia suspendido o serviço abusivo em resposta a essa violação de segurança, mas vKevin e outros hackers já haviam fugido com as coleções de NFTs.