«Лаборатория Касперского»: ведущие мошенники используют поддельные ключи от криптокошельков для кражи средств, чтобы обманывать цифровых воров

Компания Kaspersky, специализирующаяся на кибербезопасности, обнаружила уникальную мошенническую схему, нацеленную на криптомошенников. Схема заманивает потенциальных злоумышленников, используя, казалось бы, полностью загруженные криптокошельки, а затем похищает их средства, когда те пытаются получить доступ к приманке. Этот изобретательный трюк демонстрирует растущую изощренность киберпреступников в сфере цифровых активов.

По данным «Лаборатории Касперского», ведущие мошенники выдают себя за неопытных пользователей криптовалют, публично размещая в комментариях на YouTube сид-фразы — ключи доступа к криптовалютным кошелькам. Эти комментарии, публикуемые с недавно созданных аккаунтов, часто содержат просьбу о помощи в переводе средств из кошелька, якобы содержащего значительные активы. 

«Мошенники придумали новый трюк… Они публикуют сид-фразы криптокошельков в комментариях на YouTube, используя недавно созданные аккаунты», — подробно рассказал аналитик «Лаборатории Касперского» Михаил Сытник в недавней публикации в блоге.

Нет чести среди воров – как работает мошенничество с закрытыми ключами

В одном из кошельков, обнаруженных компанией Kaspersky, находилось приблизительно 8000 долларов США в USDT в сети Tron . Для доступа к этим средствам злоумышленнику сначала необходимо было бы отправить TRX, собственный токен блокчейна, для покрытия сетевых комиссий. 

Основная цель этой схемы — обман отдельных лиц, стремящихся воспользоваться якобы «глупой» ошибкой других. Оказавшись внутри кошелька-приманки, эти цифровые воры обнаруживают, что он наполнен USDT, токеном TRC20, привязанным к доллару США. 

Поскольку в кошельке недостаточно TRX для вывода средств, мошенникам предлагается отправить деньги со своих собственных кошельков. Это действие запускает «перевод средств», в результате которого TRX перенаправляются на адрес мошенника.

Мошенники подстроили систему, и как только TRX отправляются, они немедленно перенаправляются на отдельный кошелек, контролируемый злоумышленниками, оставляя вора ни с чем.

В анализе «Лаборатории Касперского» мошенники сравниваются с цифровыми Робин Гудами, нацеленными на недобросовестных участников криптопространства. Однако в конечном итоге жертвами остаются те, кто позволяет своей жадности перевесить осторожность. 

Компания, занимающаяся информационной безопасностью, призывает пользователей криптовалют проявлять осторожность в отношении многократного использованияdentсид-фраз в разных комментариях. Это может быть хорошо спланированная и скоординированная операция по краже их активов.

Мошеннические кампании, направленные против пользователей криптовалют

Результаты расследования «Лаборатории Касперского» выходят за рамки мошенничества с использованием сид-фраз. В августе Глобальная группа реагирования на чрезвычайные ситуации (GERT) компанииdentболее масштабную мошенническую кампанию, направленную на пользователей Windows и macOS по всему миру. 

В этой операции используются тщательно продуманные поддельные веб-сайты, имитирующие легитимные сервисы, такие как криптовалютные платформы, онлайн-ролевые игры и инструменты искусственного интеллекта. Эти сложные имитации призваны заманить жертв к передаче конфиденциальной информации или загрузке вредоносного ПО.

«Корреляция между различными частями этой кампании и их общей инфраструктурой указывает на хорошо организованную операцию, возможно, связанную с одним субъектом или группой, преследующей конкретные финансовые цели», — заявил Айман Шаабан, руководитель отдела реагированияdent в GERT компании «Лаборатория Касперского».

проведенного компанией Kaspersky и получившего название «Tusk», выяснилось , что кампания включает в себя различные подкампании, направленные на темы, связанные с криптовалютами, играми и искусственным интеллектом. Вредоносная инфраструктура также охватывает 16 других тем, как уже закрытые подкампании, так и новые, которые еще предстоит запустить. 

В ходе расследования были обнаружены фрагменты вредоносного кода, демонстрирующие обмен данными между серверами злоумышленников на русском языке, с отсылками к термину «Мамонт», сленговому обозначению «жертвы» среди русскоязычных киберпреступников. Эта лингвистическая подсказка повлияла на название кампании.

В рамках кампании Tusk используются вредоносные программы для кражи информации, такие как Danabot и Stealc, а также программы для мониторинга буфера обмена, некоторые из которых являются вариантами с открытым исходным кодом, написанными на Go. Программы для кражи информации извлекаютtracданныеdentинформацию о кошельках и другие конфиденциальные сведения, в то время как программы для мониторинга перехвата перехватывают адреса криптовалютных кошельков, скопированные в буфер обмена, и заменяют их вредоносными адресами, контролируемыми злоумышленниками.