" «Методы взлома криптовалюты не сильно продвинулись вперед, но они стали гораздо более изощренными», - предупреждает глава операционного отдела SlowMist.
Руководитель операционного отдела SlowMist Лиза (Lisa) заявила в аналитическом отчете MistTrack Stolen Fund за 2 квартал, что, несмотря на отсутствие прогресса в методах взлома, мошенничество стало более изощренным, с ростом числа поддельных расширений для браузеров, подделок аппаратных кошельков и атак социальной инженерии.
«Оглядываясь на второй квартал, можно отметить одну тенденцию: методы злоумышленников, возможно, не становятся технически более совершенными, но они становятся более манипулятивными в психологическом плане. Мы наблюдаем явный переход от чисто сетевых атак к внецеховым точкам входа - расширения браузера, учетные записи в социальных сетях, процессы аутентификации и поведение пользователей - все это становится распространенными объектами атак», - говорит Лиза.
Вредоносные браузерные расширения выдают себя за плагины безопасности
По иронии судьбы, одним из новых направлений атаки стали браузерные расширения, которые маскируются под плагины безопасности, такие как расширение для Chrome «Osiris», которое якобы обнаруживало фишинговые ссылки и подозрительные веб-сайты.
Вместо этого расширение перехватывает все загрузки файлов .exe, .dmg и .zip, заменяя их вредоносными программами.
«Что еще более коварно, злоумышленники направляют пользователей на посещение хорошо известных и часто используемых веб-сайтов, таких как Notion или Zoom, - сказала Лиза. - Когда пользователь попытался загрузить программное обеспечение с этих официальных сайтов, доставленные файлы были уже заменены злонамеренно, однако браузер по-прежнему отображал загрузку как исходящую из законного источника, что делало практически невозможным для пользователей обнаружить что-либо подозрительное».
Затем эти программы собирают конфиденциальную информацию с компьютера пользователя, включая данные браузера Chrome и учетные данные для связки ключей macOS, предоставляя злоумышленнику доступ к начальным фразам, закрытым ключам или учетным данным для входа в систему.
Рисунок 1. Конфиденциальная информация с компьютера жертвы отправляется на сервер злоумышленника. Источник: SlowMist.
Атаки нацелены на беспокойство пользователей криптовалют
SlowMist сообщил, что другой метод атаки был направлен на то, чтобы обманом заставить криптовалютных инвесторов использовать поддельные аппаратные кошельки.
В некоторых случаях хакеры отправляли пользователям скомпрометированный «холодный кошелек», сообщая своим жертвам, что они выиграли бесплатное устройство в рамках «лотерейного розыгрыша», или сообщая им, что их существующее устройство было скомпрометировано и им необходимо перевести свои активы.
По словам Лизы, во втором квартале одна жертва потеряла 6,5 миллиона долларов, купив поддельный холодный кошелек, который она увидела на TikTok.
Рисунок 2. Источник: Intelligence on Chain.
Другой злоумышленник продал жертве аппаратный кошелек, который уже предварительно активировали, что позволило немедленно вывести средства, как только новые пользователи перевели их в криптовалюте на хранение.
Социальная инженерия с помощью поддельного аннулированного веб-сайта
SlowMist сообщил, что во втором квартале с ним также связался пользователь, который не смог отозвать «рискованную авторизацию» в своем кошельке.
После расследования SlowMist заявил, что веб-сайт, который пользователь использовал, чтобы попытаться отозвать разрешение на смарт-контракт, был «почти идеальным клоном популярного интерфейса Revoke Cash», который просил пользователей ввести свой закрытый ключ для «проверки на наличие опасных подписей».
«Проанализировав интерфейсный код, мы подтвердили, что этот фишинговый веб-сайт использовал EmailJS для отправки пользовательских данных, включая личные ключи и адреса, на почтовый ящик злоумышленника».
Рисунок 3. SlowMist обнаружил, что основными причинами краж во втором квартале были фишинговые атаки, мошенничество и утечки секретных ключей. Источник: SlowMist.
«Эти атаки с использованием социальной инженерии технически не сложны, но они превосходно используют срочность и доверие, - сказала Лиза. - Злоумышленники знают, что такие фразы, как «обнаружена опасная сигнатура», могут вызвать панику, побуждая пользователей к поспешным действиям. Как только возникает это эмоциональное состояние, этими действиями гораздо легче манипулировать, заставляя делать то, чего они обычно не делают, например, переходить по ссылкам или делиться конфиденциальной информацией».
Атаки с использованием обновления WeChat Pectra, друзья по WeChat
Другие атаки включали в себя фишинговые методы, которые использовали EIP-7702, представленный в последнем обновлении Pectra для Ethereum, в то время как другая атака была нацелена на нескольких пользователей WeChat, чтобы получить контроль над их учетными записями.
Недавно сообщалось, что злоумышленники использовали систему восстановления аккаунта WeChat, чтобы получить контроль над учетной записью, выдавая себя за реального владельца, чтобы обмануть свои контакты со скидкой с помощью Tether (USDT).
Данные SlowMist за второй квартал были получены из 429 отчетов о похищенных средствах, представленных фирме в течение второго квартала.
Компания заявила, что заморозила и взыскала около 12 миллионов долларов с 11 жертв, которые сообщили о краже криптовалюты во втором квартале.
