Nep-e-mails met 0-Day-exploits misleiden cryptogebruikers tot het uitvoeren van schadelijke code
Een nieuwe oplichterij probeert cryptovalutagebruikers ertoe te verleiden hun geld weg te geven door directe, enorme winsten te beloven. De oplichterij is gericht op gebruikers van swapzone.io , een populaire website voor het vinden van de beste cryptowisselkoersen, en gebruikt een eenvoudige maar effectieve code die manipuleert wat slachtoffers op hun scherm zien.
Het onderzoeksteam van het Threat Intelligence Lab van Bolster AI heeft onlangs deze krachtige JavaScript-aanval onderzocht en stelde vast dat deze misbruik maakt van twee veelvoorkomende menselijke eigenschappen: hebzucht en nieuwsgierigheid.
Uit het onderzoek van Bolster, dat gedeeld werd met Hackread.com, blijkt dat de aanvallers een dubbele e-mailstrategie gebruikten: ze verstuurden berichten vanaf gratis, anonieme platforms of ze imiteerden officiële accounts zoals “Claytho Developer [email protected] .
Experts bevestigden dat deze nepmails werden verspreid via een gratis spoofingdienst genaamd Emkei's Mailer in plaats van via Swapzone's eigen systeem. De e-mails lokken gebruikers met een "0-day glitch" of "100% werkende winsttruc".
Om de urgentie te vergroten, beweren ze ten onrechte dat de "0-day exploit" binnen een of twee dagen gepatcht zal zijn, waardoor gebruikers gedwongen worden snel te handelen. Onderzoekers registreerden meer dan 100 berichten die dit patroon volgden in slechts 48 uur.
Uit verder onderzoek bleek dat de oplichting zelfs plaatsvond op privé -cybercrimeforums , zoals bij een gebruiker met de naam Nexarmudor Op darkforums.st , een platform voor het dark web, werd ontdekt dat er forumleden werden misleid.
Slachtoffers worden doorgestuurd naar een kwaadaardige Google Docs- link met een korte handleiding die hen instrueert om één regel code, beginnend met javascript:, in de adresbalk van hun browser te plakken. Dit is alles wat nodig is om de problemen te laten beginnen, want het plakken van dit soort code is hetzelfde als het uitvoeren van een programma op je apparaat, een risico waar de meeste gebruikers zich meestal niet van bewust zijn.
Zodra het kleine codefragment wordt uitgevoerd, wordt een veel groter, verborgen programma aangeroepen dat de browsersessie van het slachtoffer overneemt door de gebruiker visueel te misleiden. Het begint onmiddellijk de weergave van de website te veranderen, bijvoorbeeld door de winst die de gebruiker te zien krijgt te verhogen. Een handleiding, getiteld "Swapzone.io – ChangeNOW Profit Method", beloofde ongeveer 37% hogere uitbetalingen dan normaal.
Het programma voegt ook nep-elementen toe, zoals schermen die 'afgesloten' zijn door neppe afteltimers om een gevoel van urgentie te creëren. Het meest schadelijke is dat wanneer het slachtoffer de transactie probeert te voltooien, de verborgen code de betaling naar een door de aanvaller beheerd wallet-adres stuurt door het crypto-wallet- adres van de crimineel ongemerkt naar het klembord van de gebruiker te kopiëren. De onderzoekers van Bolster vonden een pool van adressen die klaarstaan voor verschillende cryptovaluta, wat aantoont dat de criminele operatie goed georganiseerd is.
Onderzoekers benadrukken dat, of je nu een regelmatige cryptogebruiker bent of gewoon wilt investeren, de drang naar snelle winst iedereen kwetsbaar kan maken. Daarom adviseren ze om nooit JavaScript-fragmenten van onbetrouwbare bronnen in de adresbalk te plakken.
"Deze ontdekking laat zien hoe social engineering-tactieken nu worden hergebruikt binnen de ruimtes van de dreigingsactoren zelf. Hieruit blijkt dat zelfs ervaren individuen in ondergrondse ecosystemen kwetsbaar zijn voor manipulatie wanneer hebzucht en urgentie een rol spelen", concludeert het rapport.
HackRead
