Le false email di exploit 0-day inducono gli utenti di criptovalute a eseguire codice dannoso
Una nuova truffa sta inducendo gli utenti di criptovalute a cedere i propri fondi promettendo profitti immediati e ingenti. Il sistema prende di mira gli utenti di swapzone.io , un sito popolare per trovare i migliori tassi di cambio per le criptovalute, utilizzando un codice semplice ma efficace che manipola ciò che le vittime vedono sullo schermo.
Il team di ricerca del Threat Intelligence Lab di Bolster AI ha recentemente studiato questo potente attacco basato su JavaScript, notando che sfrutta due tratti umani comuni: avidità e curiosità.
La ricerca di Bolster, condivisa con Hackread.com, rivela che gli aggressori hanno utilizzato una doppia strategia di posta elettronica: inviando messaggi da piattaforme gratuite e anonime o imitando account ufficiali come "Claytho Developer [email protected] .
Gli esperti hanno confermato che queste email false venivano inoltrate tramite un servizio di spoofing gratuito chiamato Emkei's Mailer, anziché tramite il sistema di Swapzone. Le email attirano gli utenti con un "glitch da 0 giorni" o un "trucco che garantisce un profitto del 100%".
Per creare un'estrema urgenza, affermano falsamente che l'"exploit 0-day" verrà risolto entro uno o due giorni, costringendo gli utenti ad agire in fretta. I ricercatori hanno notato oltre 100 messaggi che seguivano questo schema in sole 48 ore.
Ulteriori indagini hanno dimostrato che la truffa si è verificata anche su forum privati di criminalità informatica , come quello di un utente di nome Nexarmudor su darkforums.st , una piattaforma web chiara e oscura, è stato scoperto a ingannare i membri del forum.
Le vittime vengono indirizzate a un link dannoso a Google Docs con una breve guida che chiede loro di incollare una singola riga di codice, che inizia con javascript:, nella barra degli indirizzi del browser. Questo è tutto ciò che serve per far iniziare i guai, poiché incollare un codice del genere equivale a eseguire un programma sul dispositivo, un rischio di cui la maggior parte degli utenti solitamente non è consapevole.
Una volta eseguito, il piccolo frammento di codice recupera un programma nascosto molto più grande che prende il controllo della sessione del browser della vittima ingannando visivamente l'utente. Inizia immediatamente a modificare la visualizzazione del sito web, ad esempio, gonfiando i rendimenti mostrati all'utente. Una guida, intitolata "Swapzone.io – Metodo di profitto ChangeNOW", prometteva guadagni superiori di circa il 37% rispetto al normale.
Il programma aggiunge anche elementi fittizi, come schermate "protette" da finti timer per il conto alla rovescia, per creare un senso di urgenza. L'aspetto più dannoso è che, quando la vittima tenta di completare la transazione, il codice nascosto indirizza il pagamento verso un indirizzo wallet controllato dall'aggressore, copiando silenziosamente l'indirizzo del wallet crittografico del criminale negli appunti dell'utente. I ricercatori di Bolster hanno trovato un pool di indirizzi pronti per diverse criptovalute, a dimostrazione della buona organizzazione dell'operazione criminale.
I ricercatori sottolineano che, che siate utenti abituali di criptovalute o semplicemente interessati a investire, la brama di profitti rapidi può rendere chiunque vulnerabile. Ecco perché consigliano di non incollare mai frammenti JavaScript provenienti da fonti non attendibili nella barra degli indirizzi.
"Questa scoperta ha rivelato come le tattiche di ingegneria sociale vengano ora riproposte all'interno degli stessi spazi degli attori delle minacce, dimostrando che anche gli individui esperti negli ecosistemi sotterranei sono vulnerabili alla manipolazione quando sono coinvolti avidità e urgenza", conclude il rapporto.
HackRead
