Компания Kaspersky, специализирующаяся на кибербезопасности, обнаружила уникальную мошенническую схему, нацеленную на криптомошенников. Схема заманивает потенциальных злоумышленников, используя, казалось бы, полностью загруженные криптокошельки, а затем похищает их средства, когда те пытаются получить доступ к приманке. Этот изобретательный трюк демонстрирует растущую изощренность киберпреступников в сфере цифровых активов.
По данным «Лаборатории Касперского», ведущие мошенники выдают себя за неопытных пользователей криптовалют, публично размещая в комментариях на YouTube сид-фразы — ключи доступа к криптовалютным кошелькам. Эти комментарии, публикуемые с недавно созданных аккаунтов, часто содержат просьбу о помощи в переводе средств из кошелька, якобы содержащего значительные активы.
«Мошенники придумали новый трюк… Они публикуют сид-фразы криптокошельков в комментариях на YouTube, используя недавно созданные аккаунты», — подробно рассказал аналитик «Лаборатории Касперского» Михаил Сытник в недавней публикации в блоге.
Нет чести среди воров – как работает мошенничество с закрытыми ключами
В одном из кошельков, обнаруженных компанией Kaspersky, находилось приблизительно 8000 долларов США в USDT в сети Tron . Для доступа к этим средствам злоумышленнику сначала необходимо было бы отправить TRX, собственный токен блокчейна, для покрытия сетевых комиссий.
Основная цель этой схемы — обман отдельных лиц, стремящихся воспользоваться якобы «глупой» ошибкой других. Оказавшись внутри кошелька-приманки, эти цифровые воры обнаруживают, что он наполнен USDT, токеном TRC20, привязанным к доллару США.
Поскольку в кошельке недостаточно TRX для вывода средств, мошенникам предлагается отправить деньги со своих собственных кошельков. Это действие запускает «перевод средств», в результате которого TRX перенаправляются на адрес мошенника.
Мошенники подстроили систему, и как только TRX отправляются, они немедленно перенаправляются на отдельный кошелек, контролируемый злоумышленниками, оставляя вора ни с чем.
В анализе «Лаборатории Касперского» мошенники сравниваются с цифровыми Робин Гудами, нацеленными на недобросовестных участников криптопространства. Однако в конечном итоге жертвами остаются те, кто позволяет своей жадности перевесить осторожность.
Компания, занимающаяся информационной безопасностью, призывает пользователей криптовалют проявлять осторожность в отношении многократного использованияdentсид-фраз в разных комментариях. Это может быть хорошо спланированная и скоординированная операция по краже их активов.
Мошеннические кампании, направленные против пользователей криптовалют
Результаты расследования «Лаборатории Касперского» выходят за рамки мошенничества с использованием сид-фраз. В августе Глобальная группа реагирования на чрезвычайные ситуации (GERT) компанииdentболее масштабную мошенническую кампанию, направленную на пользователей Windows и macOS по всему миру.
В этой операции используются тщательно продуманные поддельные веб-сайты, имитирующие легитимные сервисы, такие как криптовалютные платформы, онлайн-ролевые игры и инструменты искусственного интеллекта. Эти сложные имитации призваны заманить жертв к передаче конфиденциальной информации или загрузке вредоносного ПО.
«Корреляция между различными частями этой кампании и их общей инфраструктурой указывает на хорошо организованную операцию, возможно, связанную с одним субъектом или группой, преследующей конкретные финансовые цели», — заявил Айман Шаабан, руководитель отдела реагированияdent в GERT компании «Лаборатория Касперского».
проведенного компанией Kaspersky и получившего название «Tusk», выяснилось , что кампания включает в себя различные подкампании, направленные на темы, связанные с криптовалютами, играми и искусственным интеллектом. Вредоносная инфраструктура также охватывает 16 других тем, как уже закрытые подкампании, так и новые, которые еще предстоит запустить.
В ходе расследования были обнаружены фрагменты вредоносного кода, демонстрирующие обмен данными между серверами злоумышленников на русском языке, с отсылками к термину «Мамонт», сленговому обозначению «жертвы» среди русскоязычных киберпреступников. Эта лингвистическая подсказка повлияла на название кампании.
В рамках кампании Tusk используются вредоносные программы для кражи информации, такие как Danabot и Stealc, а также программы для мониторинга буфера обмена, некоторые из которых являются вариантами с открытым исходным кодом, написанными на Go. Программы для кражи информации извлекаютtracданныеdentинформацию о кошельках и другие конфиденциальные сведения, в то время как программы для мониторинга перехвата перехватывают адреса криптовалютных кошельков, скопированные в буфер обмена, заменяя их вредоносными адресами, контролируемыми злоумышленниками.
