Neseniai atskleista, kad pirmaujanti kriptovaliutų saugumo analizės bendrovė „SlowMist” atskleidė sudėtingą sukčiavimą, kurį organizavo Kinijos įsilaužėliai. Sukčiai išradingai panaudojo klonuotą „Skype” vaizdo programėlės versiją, pasinaudodami Kinijos taikomais tarptautinių programų apribojimais. Šis apgaulingas žingsnis buvo nukreiptas į kriptovaliutų naudotojus, aktyviai ieškančius uždraustų programėlių, tokių kaip „Telegram”, „WhatsApp” ir „Skype”, trečiųjų šalių platformose.
Sudėtinga schema
„SlowMist” analitikų komanda kruopščiai išnagrinėjo suklastotą vaizdo programėlę ir nustatė, kad jos versija (8.87.0403) skiriasi nuo oficialios versijos (8.107.02.215). Tolesnis tyrimas atskleidė pakeistą parašą, rodantį kenkėjiškos programinės įrangos įterpimą, ir modifikuotą „Android” tinklo struktūros „okhttp3” versiją. Ši modifikuota sistema kėlė didelę grėsmę kriptovaliutų naudotojams, nes ji pasiekdavo vaizdus iš įvairių įrenginio katalogų.
Sukčiavimo taktika
Užpuolikai taikė nusistovėjusią sukčiavimo strategiją ir į netikrą vaizdo programėlę įdėjo kenkėjišką programinę įrangą, kad pažeistų kriptovaliutų pinigines ir pavogtų lėšas. Įdiegus apgaulingą programėlę buvo prašoma prieigos prie vidinių failų ir vaizdų. Nieko neįtariantys naudotojai, suprasdami tai kaip įprastą socialinės programos leidimo prašymą, netyčia patenkino visus prašymus.
Pasitikėjimo išnaudojimas
Gavusi leidimą, kenkėjiška vaizdo įrašų programėlė slapta į įsilaužėlių duomenų bazę įkeldavo slaptus duomenis, įskaitant nuotraukas, naudotojo įrenginio duomenis, asmens tapatybės dokumentus (vairuotojo pažymėjimą, pasą ir nacionalinį asmens tapatybės dokumentą) ir telefono numerius. Programėlė aktyviai rinko vaizdus ir žinutes, skenuodama tokius raktažodžius kaip „Tron” (TRX) ir „Ether” (ETH), kad aptiktų kriptografinių piniginių pervedimus. Aptikus, paskirties adresas būdavo automatiškai pakeičiamas iš anksto nustatytu kenkėjišku adresu.
Įsidėmėtini modeliai
„SlowMist” atkreipė dėmesį į šio sukčiavimo panašumą į ankstesnį netikrą „Binance” (BNB) įsilaužimo atvejį 2022 m. lapkričio mėn. Komanda atskleidė konkrečius su sukčiavimu susijusius kriptovaliutų adresus, įskaitant „Tron” ir ETH adresus.
Veiksmai ir prevencija
Reaguodama į šią grėsmę, „SlowMist” analizės komanda ėmėsi aktyvių priemonių. Tikrindami, ar suklastotoje „Skype” programėlėje vykdoma nuolatinė veikla, jie nustatė, kad adreso keitimas nebeveikia, o tai rodo, kad sukčiavimo sąsajos galinė dalis išjungta. Platforma nedelsdama surado ir į juodąjį sąrašą įtraukė visus su sukčiavimu susijusius kriptovaliutų adresus.
Nors „SlowMist” skubūs veiksmai prisideda prie nuolatinės kovos su nesąžiningomis operacijomis, pavyzdžiui, sukčiavimu, visiems kriptovaliutų naudotojams patariama būti atsargiems. Šis naujausias incidentas primena, kad kibernetinių nusikaltėlių taktika, kuria jie taikosi į kriptovaliutų naudotojus, nuolat kinta. Jis pabrėžia, kaip svarbu išlikti budriems nuolat besikeičiančiame skaitmeninio saugumo kraštovaizdyje.
