Криптовалютный инвестор потерял 800 000 долларов за 46 часов

Криптовалютный инвестор, известный под ником Sell When Over, рассказал в Твиттере о тревожном инциденте, когда хакер за 46 часов похитил 800 000 долларов с его криптовалютных кошельков. Основная проблема, по всей видимости, связана с потенциальной в Google Chrome, которая, возможно, возникла из-за задержек в обновлениях или необнаруженного вредоносного ПО, что привело к несанкционированной установке вредоносных расширений.

Разбор уровней безопасности

В статье Sell When Over рассказывалось, как он отложил обновление Chrome, но последующее обновление Windows подтолкнуло его к этому. После перезагрузки изменения в Chrome проявились мгновенно: вкладки исчезли, а данные для входа в расширения были сброшены. Эта аномалия вынудила его повторно импортировать свои сид-фразы из кошелька — процесс, который он тщательно выполнил со второго, незащищенного устройства.

Однако именно обнаружение двух необычных расширений, «Sync Test Beta» и «Simple Game», в сочетании с несанкционированной активацией автоматического перевода с корейского языка, намекнуло на более глубокую компрометацию. Примечательно, что одно конкретное приложение-кошелек, избежавшее повторного импорта, осталось незатронутым, что указывает на источник взлома — один скомпрометированный компьютер.

Дальнейшее изучение этих расширений выявило тревожные особенности. «Sync Test Beta», яркое расширение, былоdentкак кейлоггер, тайно передающий данные на внешний PHP-скрипт. С другой стороны, «Simple Game», похоже, отслеживало активность вкладок браузера. В статье Sell When Over сетуют на то, что полная очистка ПК при малейшей аномалии всегда является мудрым решением, особенно когда подобные особенности совпадают со значительными обновлениями, такими как переработка пользовательского интерфейса Chrome.

Дорогостоящий урок цифровой бдительности

По мере развития обсуждения, Sell When Over выявил критическое нарушение безопасности — взлом системы авторизации Google, связанный с малоизвестным устройством на Windows, возможно, с подделкой знакомого имени устройства для обхода раннего обнаружения. Взлом был tracдо VPS, размещенного в Kaopu Cloud, печально известной в хакерских кругах своей ролью в различных киберпреступлениях. Несмотря на включенную двухфакторную аутентификацию (2FA), злоумышленник обошел ее, оставив точный метод взлома — от фишинга OAuth до межсайтового скриптинга — предметом предположений.

Этотdent стал жестоким тревожным сигналом, и в статье Sell When Over приводятся несколько ключевых выводов:

1. Разочарование по поводу неспособности Bitdefender обнаружить какие-либо угрозы, в отличие от эффективности Malwarebytes.
2. Предостережение против самоуспокоения в вопросах безопасности, независимо от объема обрабатываемых криптовалютных данных.
3. Настоятельно не рекомендуется вводить ключевые фразы под любым предлогом, вместо этого рекомендуется выполнить настройку системы заново.
4. Отказываемся от Chrome в пользу более безопасных браузеров, таких как Brave.
5. Важность разделения устройств, особенно для криптотранзакций.
6. Регулярный мониторинг уведомлений об активности в Google.
7. Рекомендации по отключению синхронизации расширений, особенно на устройствах, предназначенных для работы с криптографическими данными.
8. Признание ограничений двухфакторной аутентификации.
9. Необходимость проведения регулярных проверок безопасности и обновления процедур для предотвращения скрытых угроз.

На фоне финансовых потерь Sell When Over уточнил, что его аппаратный кошелек остается в безопасности, опровергнув любые предположения о мотивах уклонения от уплаты налогов, стоящих за этим разоблачением. Несмотря на то, что часть украденных средств начала отмываться, была предложена награда в размере 150 000 долларов за их возвращение, а также возможность проведения криминалистической экспертизы на основе этой награды.

Сага завершилась призывом к сохранению бдительности, особенно на фоне сомнительного решения Google объединять оповещения о безопасности в цепочки — шага, который, возможно, замаскировал вторжение.