Fałszywe e-maile z lukami typu 0-day oszukują użytkowników kryptowalut, zmuszając ich do uruchomienia złośliwego kodu

Nowe oszustwo polega na nakłanianiu użytkowników kryptowalut do oddania swoich środków, obiecując im natychmiastowe, ogromne zyski. Oszustwo jest skierowane do użytkowników swapzone.io , popularnej strony internetowej umożliwiającej wyszukiwanie najlepszych kursów wymiany kryptowalut, wykorzystując prosty, ale skuteczny kod, który manipuluje tym, co ofiary widzą na ekranie.

Zespół badawczy z Threat Intelligence Lab firmy Bolster AI niedawno zbadał ten potężny atak oparty na języku JavaScript i zauważył, że wykorzystuje on dwie powszechne cechy ludzkie: chciwość i ciekawość.

Badania Bolstera, którymi podzielił się z Hackread.com, ujawniają, że atakujący stosowali podwójną strategię e-mailową: wysyłali wiadomości z bezpłatnych, anonimowych platform lub podszywali się pod oficjalne konta, takie jak „Claytho Developer [email protected] .

Eksperci potwierdzili, że te fałszywe e-maile były przesyłane za pośrednictwem bezpłatnej usługi spoofingowej o nazwie Emkei's Mailer, a nie przez system Swapzone. E-maile kuszą użytkowników „błędem 0-day” lub „sztuczką przynoszącą 100% zysku”.

Aby wywołać poczucie pilności, fałszywie twierdzą, że „exploit 0-day” zostanie naprawiony w ciągu jednego lub dwóch dni, zmuszając użytkowników do szybkiego działania. Badacze odnotowali ponad 100 wiadomości zgodnych z tym schematem w ciągu zaledwie 48 godzin.

Dalsze dochodzenie wykazało, że oszustwo miało miejsce także na prywatnych forach poświęconych cyberprzestępczości , np. na forach użytkownika o nazwie Nexarmudor na darkforums.st , przejrzystej i ciemnej platformie internetowej, odkryto oszustwo, którego celem było oszukanie członków forum.

Ofiary są kierowane do złośliwego linku Google Docs z krótką instrukcją, która instruuje je, jak wkleić pojedynczą linijkę kodu, zaczynając od javascript:, w pasek adresu przeglądarki. To wystarczy, aby rozpocząć problem, ponieważ wklejenie takiego kodu jest równoznaczne z uruchomieniem programu na urządzeniu, a większość użytkowników zazwyczaj nie zdaje sobie z tego sprawy.

Po uruchomieniu krótkiego fragmentu kodu, pobiera on znacznie większy, ukryty program, który przejmuje kontrolę nad sesją przeglądarki ofiary, oszukując użytkownika wizualnie. Natychmiast zaczyna zmieniać wygląd strony, na przykład zawyżając wyświetlane użytkownikowi zyski. Jeden z poradników, zatytułowany „Swapzone.io – Metoda Zysku ChangeNOW”, obiecywał około 37% wyższe wypłaty niż zwykle.

Program dodaje również fałszywe elementy, takie jak ekrany „zablokowane” przez fałszywe liczniki czasu, aby stworzyć poczucie pilności. Najbardziej szkodliwym elementem jest to, że gdy ofiara próbuje dokończyć transakcję, ukryty kod kieruje płatność na adres portfela kontrolowanego przez atakującego, po cichu kopiując adres portfela kryptowalutowego przestępcy do schowka użytkownika. Badacze Bolstera znaleźli pulę adresów gotowych do użycia w różnych kryptowalutach, co dowodzi, że operacja przestępcza jest dobrze zorganizowana.

Badacze podkreślają, że niezależnie od tego, czy jesteś regularnym użytkownikiem kryptowalut, czy po prostu chcesz zainwestować, chęć szybkiego zysku może narazić każdego na niebezpieczeństwo. Dlatego zalecają, aby nigdy nie wklejać fragmentów kodu JavaScript z niezaufanych źródeł w pasku adresu.

„To odkrycie ujawniło, w jaki sposób taktyki socjotechniczne są obecnie wykorzystywane w przestrzeniach samych aktorów zagrożeń, pokazując, że nawet doświadczone jednostki w podziemnych ekosystemach są podatne na manipulację, gdy w grę wchodzi chciwość i poczucie pilności” – podsumowano w raporcie.