Ngày 12 tháng 6 năm 2023Ravie LakshmananTiền điện tử /
Một vụ lừa đảo tiền điện tử chưa bị phát hiện trước đây đã tận dụng hơn 1.000 trang web lừa đảo để dụ người dùng vào một kế hoạch phần thưởng không có thật kể từ ít nhất là tháng 1 năm 2021.
Các nhà nghiên cứu của Trend Micro cho biết trong một báo cáo được công bố vào tuần trước, liên kết chiến dịch này với một tác nhân đe dọa nói tiếng Nga có tên là “Nhóm Impulse”.
“Trò lừa đảo hoạt động thông qua một hình thức gian lận phí nâng cao liên quan đến việc lừa nạn nhân tin rằng họ đã giành được một lượng tiền điện tử nhất định. Tuy nhiên, để nhận được phần thưởng, nạn nhân sẽ cần phải trả một số tiền nhỏ để mở tài khoản trên trang web của họ. “
Chuỗi thỏa hiệp bắt đầu bằng một thông điệp trực tiếp được lan truyền qua Twitter để thu hút các mục tiêu tiềm năng truy cập trang web mồi nhử. Tài khoản chịu trách nhiệm gửi tin nhắn đã bị đóng.
Tin nhắn kêu gọi người nhận đăng ký tài khoản trên trang web và áp dụng mã khuyến mãi được chỉ định trong tin nhắn để giành phần thưởng tiền điện tử lên tới 0,78632 bitcoin (khoảng 20.300 đô la).
Nhưng một khi tài khoản được thiết lập trên nền tảng giả mạo, người dùng được yêu cầu kích hoạt tài khoản bằng cách gửi một khoản tiền gửi tối thiểu trị giá 0,01 bitcoin (khoảng 258 đô la) để xác nhận danh tính của họ và hoàn tất việc rút tiền.
Các nhà nghiên cứu lưu ý: “Mặc dù tương đối lớn, nhưng số tiền cần thiết để kích hoạt tài khoản không đáng kể so với những gì người dùng sẽ nhận được”. “Tuy nhiên, đúng như dự đoán, người nhận không bao giờ nhận lại được gì khi họ trả số tiền kích hoạt.”
Một kênh Telegram công khai ghi lại mọi khoản thanh toán do nạn nhân thực hiện cho thấy các giao dịch bất hợp pháp đã mang lại cho các đối tượng hơn 5 triệu đô la một chút trong khoảng thời gian từ ngày 24 tháng 12 năm 2022 đến ngày 8 tháng 3 năm 2023.
Trend Micro cho biết họ đã phát hiện hàng trăm tên miền liên quan đến hành vi lừa đảo này, trong đó một số tên miền đã hoạt động từ năm 2016. Tất cả các trang web giả mạo đều thuộc về một “dự án tiền điện tử lừa đảo” có tên mã là Impulse đã được quảng cáo trên các diễn đàn tội phạm mạng của Nga kể từ tháng 2 năm 2021 .
Giống như hoạt động ransomware-as-a-service (RaaS), liên doanh yêu cầu các bên liên kết trả phí để tham gia chương trình và chia sẻ phần trăm thu nhập với các tác giả ban đầu.
Để cho hoạt động này có vẻ ngoài hợp pháp, những kẻ đe dọa được cho là đã tạo ra một phiên bản giống hệt của một công cụ chống lừa đảo đã biết có tên là ScamDoc, công cụ này chỉ định điểm tin cậy cho các trang web khác nhau, trong một nỗ lực hợp lý để chuyển tiền điện tử sơ sài. dịch vụ như đáng tin cậy.
Trend Micro cho biết họ cũng tình cờ phát hiện được các tin nhắn riêng tư, video trực tuyến và quảng cáo trên các mạng xã hội khác như TikTok và Mastodon, cho thấy các chi nhánh đang sử dụng nhiều phương pháp để quảng cáo hoạt động lừa đảo.
Các nhà nghiên cứu cho biết: “Tác nhân đe dọa hợp lý hóa hoạt động cho các chi nhánh của nó bằng cách cung cấp dịch vụ lưu trữ và cơ sở hạ tầng để họ có thể tự vận hành các trang web lừa đảo này”. “Các chi nhánh sau đó có thể tập trung vào các khía cạnh khác của hoạt động, chẳng hạn như chạy các chiến dịch quảng cáo của riêng họ.”
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Tin tức về vụ lừa đảo giveaway giả trùng khớp với một làn sóng tấn công đánh cắp tiền điện tử mới được dàn dựng bởi một kẻ đe dọa có tên là Pink Drainer đã bị phát hiện giả dạng các nhà báo để giành quyền kiểm soát tài khoản Twitter và Discord của nạn nhân và quảng bá các kế hoạch tiền điện tử giả mạo.
Theo số liệu thống kê do ScamSniffer thu thập, Pink Drainer đã xâm nhập thành công 2.307 tài khoản kể từ ngày 11 tháng 6 năm 2023 để đánh cắp tài sản kỹ thuật số trị giá hơn 3,29 triệu USD.
Những phát hiện này cũng được đưa ra vài tuần sau khi Akamai kết thúc một chiến dịch tấn công tiền điện tử mới của Rumani có tên Diicot (trước đây là Mexals) sử dụng mô-đun sâu Secure Shell (SSH) dựa trên Golang và một bộ phát tán LAN mới để truyền bá.
Sau đó vào tháng trước, Phòng thí nghiệm bảo mật đàn hồi đã trình bày chi tiết việc sử dụng rootkit nguồn mở có tên r77 để triển khai công cụ khai thác tiền điện tử XMRig ở một số quốc gia châu Á.
Các nhà nghiên cứu cho biết: “Mục đích chính của r77 là che giấu sự hiện diện của phần mềm khác trên hệ thống bằng cách kết nối các API quan trọng của Windows, khiến nó trở thành công cụ lý tưởng cho tội phạm mạng muốn thực hiện các cuộc tấn công lén lút”.
“Bằng cách tận dụng rootkit r77, các tác giả của công cụ khai thác tiền điện tử độc hại đã có thể tránh bị phát hiện và tiếp tục chiến dịch của họ mà không bị phát hiện.”
Cần chỉ ra rằng rootkit r77 cũng được tích hợp trong SeroXen, một biến thể mới của công cụ quản trị từ xa Quasar được bán với giá chỉ 30 USD cho giấy phép hàng tháng hoặc 60 USD cho gói trọn đời.
