O especialista em segurança de criptomoedas ZachXBT compartilhou uma gravação de vídeo em sua conta X, expondo um hacker conhecido como vKevin durante um sofisticado golpe por meio de um bot falso do Telegram da Safeguard. Acredita-se que o criminoso estivesse trabalhando com outros participantes do golpe enquanto estudava em uma escola de Nova York.
Em 23 de janeiro, ZachXBT, uma figura conhecida na comunidade investigativa de criptomoedas, publicou um vídeo de 31 minutos na plataforma de mídia social X, no qual 'vKevin' aparece usando o Telegram para extorquir dinheiro de vítimas. No vídeo, 'vKevin' é visto colaborando com cúmplices enquanto praticam golpes de phishing direcionados a vítimas inocentes.
O analista de segurança de criptomoedas estava respondendo a uma publicação feita pelo usuário @pcaversaccio, que havia alertado a comunidade cripto sobre uma nova tática enganosa no Telegram, que ele descreveu como a "maior ameaça à segurança no momento"
Pessoal, a maior ameaça à segurança agora é gente executando código sem pensar, invocando comandos obscuros ou instalando aplicativos só porque alguém aleatório ou algum site mandou. Exemplo: Parem de executar esses comandos maliciosos do PowerShell sem pensar, só porque sim… pic.twitter.com/vuBDabQJNY
— sudo rm -rf –no-preserve-root / (@pcaversaccio) 23 de janeiro de 2025
O golpe consistia em enganar as vítimas para que verificassem suadentpor meio de um bot falso da Safeguard. Isso permitia que o hacker obtivesse acesso não autorizado às suas contas do Telegram e, consequentemente, às carteiras de seus bots de negociação. Uma vez lá dentro, os exploradores podiam roubar os ativos das vítimas, chegando a centenas de milhares de dólares em alguns casos.
Investigadoresdentnovo golpe perigoso com bot do Telegram
De acordo com uma explicação da empresa de segurança blockchain SlowMist, publicada no Medium, o golpe do falso bot do Telegram utiliza dois métodos de infiltração. Os golpistas podem usar o bot para solicitar informações privadas dos usuários, como senhas e códigos de verificação. Eles também podem instalar vírus de malware para invadir computadores e roubar informações diretamente.
No artigo publicado em 18 de janeiro, a SlowMist descreveu como agentes maliciosos criam contas falsas de líderes de opinião (KOLs) no Telegram, inserindo estrategicamente links de convite para grupos do Telegram em comentários para trac potenciais vítimas.
Os usuários que se juntam às “comunidades” através do link são então recebidos com solicitações para um processo de “verificação”. Se seguirem os passos, um agente Trojan de acesso remoto (RAT) malicioso libera comandos PowerShell que comprometem quaisquer instalações de segurança, permitindo que o hacker acesse o sistema sem autorização.
Após a publicação de ZachXBT, um usuário perguntou se o hacker 'vKevin' havia sido exposto, ao que ZachXBT confirmou com um simples "sim"
Ele vai ficar guardando carteiras na prisão.
— ImNotTheWolf (@ImNotTheWolf) 23 de janeiro de 2025
(E sim, você está feio, cara.) pic.twitter.com/DKcomKIk6M
Em uma das respostas, um usuário compartilhou uma foto do suposto explorador, embora alguns detalhes específicos, como sua localização exata ou com quem ele estava trabalhando, ainda não tenham sido divulgados.
O mesmo hacker foi responsável pela invasão do servidor do Discord em 2022
Supostamente, vKevin foi responsável por outra violação de segurança que causou de NFTs em 14 de agosto de 2022. A informação foi divulgada pelo usuário @Iamdeadlyz do X. Ele explicou como o hacker atacou o Discord da DigikongNFT ao implantar um webhook disfarçado de bot MEE6 dentro do servidor.
Este bot foi projetado para facilitar um ataque de phishing usando um bookmarklet para extrair tokens de autenticação do Discord de usuários. O site de phishing vinculado a este ataque estava hospedado em mee6.ca/verify , um domínio registrado através do serviço web Namecheap e hospedado na AWS com o endereço IP 23.22.5.68.
O servidor Discord do
— iamdeadlyz (@Iamdeadlyz) 14 de agosto de 2022
@DigikongNFT foi /famousfoxfedaration.netlify.app
🌐 @Netlify @NetlifySupport
🚩 @ solana fm
3HZmQ7TVkhcuPu5jb349LARJYP8LMVC7U31qsCuYCkso
O(s) mesmo(s) agente(s) malicioso(s) por trás do ataque @AI_Roulette.
ID do Discord do impostor https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW
As evidências das ações de vKevin foram compartilhadas no canal geral do servidor Discord, embora a maior parte das informações sensíveis tenha sido ocultada.
A Namecheap confirmou posteriormente que havia suspendido o serviço abusivo em resposta a essa violação de segurança, mas vKevin e outros hackers já haviam fugido com as coleções de NFTs.
