Home » Два клика от нуля — мошеннические схемы по выкачиванию криптовалюты с использованием IFPS, использующие похожие CDN

Два клика от нуля — мошеннические схемы по выкачиванию криптовалюты с использованием IFPS, использующие похожие CDN

Два клика от нуля — мошеннические схемы по выкачиванию криптовалюты с использованием IFPS, использующие похожие CDN

Более 40 тыс. долларов было потеряно из-за мошеннических действий по краже криптовалют с использованием IPFS и вредоносного кода, скрытого за имитациями CDN.

В Netcraft мы нарушаем Мошенничества с использованием криптовалюты на протяжении более 10 летвключая более 15 000 случаев фишинга IPFS с 2016 года. Поскольку мы внимательно следим за развитием угроз и криминальными инновациями, современные технологии, такие как API Web3, сделали криптомошенничество проще и доступнее, чем когда-либо прежде.

Криптовалюты остаются особой целью для преступников из-за своей децентрализованной природы: отсутствие центрального арбитра транзакций означает, что у жертв нет возможности исправить ошибки или возместить понесенные убытки.

В этой записи блога мы рассмотрим криптодренаж, тип мошенничества с переадресацией платежей, который использует API Web3, чтобы обманом заставить жертв отдать свои криптовалютные монеты и токены. Всего два щелчка на сайте-подражателе, чтобы «получить бесплатный токен», могут необратимо перевести все их криптоактивы преступникам.

Криптовалютные утечники и API кошельков Web3

API-интерфейсы Web3-кошельков разработаны для того, чтобы позволить веб-сайтам взаимодействовать с криптовалютными кошельками пользователей и функционировать как мост между приложениями и блокчейном. Они могут работать только в браузере с поддержкой Web3 (например, Храбрый), или с помощью расширения для браузера, например МетаМаскаAPI кошелька позволяют сайтам запрашивать у пользователя подпись под определенным сообщением или отправлять криптовалюту на определенный адрес.

В стандартной афере по сливу криптовалюты киберпреступник утверждает, что предлагает пользователю бесплатные криптовалютные токены, чаще всего в форме чеканки новых монет. Это используется, чтобы обманом заставить жертву подключить свой кошелек к вредоносному веб-сайту, который затем может получить адрес криптовалюты жертвы.

Рисунок 1 – Криптовалютный улов на nonextpepe[.]ком.

После подключения преступник может запросить подписи или транзакции для этого кошелька. Важно отметить, что подключение кошелька само по себе не нет позволяют сайту украсть его содержимое. Однако после подключения дренажер обычно заманивает жертву «заявить свои токены», запрашивая транзакцию. В случае одобрения это переведет весь баланс жертвы в кошелек, контролируемый преступником, фактически «опустошая» кошелек жертвы.

Read more:  Жители Нью-Йорка протестуют против убийства Джордана Нили

Рисунок 2. Транзакция, сгенерированная Drainer для всего баланса кошелька.

Преступники, стоящие за этими мошенническими схемами, рассчитывают на то, что жертвы будут достаточно возбуждены или отвлечены обещанием бесплатных криптовалютных токенов, и не поймут, что, одобрив транзакцию, они потеряют все в своем кошельке. В примере ниже баланс Ethereum отправляется на смарт-контракт 0x676CA33022fB1a41c6cFE47Eac2E896F398e5783который пересылает все полученные средства на кошелек 0x9f335dfa31bfb56dfa153efd4092c96ca22fd789 (и ничего не дает взамен). Только на адрес назначения поступило более 25ETH, что в общей сложности составляет более 40 000 долларов США по обменному курсу на момент перевода.

Рисунок 3. Фрагмент слива для nonextpepe[.]ком

Подражатели криптовалютам

Криптовалютные хакеры часто имитируют легитимные криптовалютные проекты, используя знакомые токены, названия и брендинг, чтобы обмануть жертв и заставить их одобрить вредоносные транзакции. В этом примере Lista — это реальный криптовалютный проект, https://lista.orgс его децентрализованной стабильной монетой лисUSD привязан к доллару США. Аналитики Netcraft обнаружили сайт, сливающий криптовалюту, претензия-lista[.]орг который скопировал весь сайт Lista.

Рисунок 4. Законный сайт Lista (вверху) с сайтом-копией (claim-lista[.]орг) ниже.

Вредоносный сайт утверждает, что в настоящее время доступна акция «ограниченная по времени раздача» (обычно раздача — это мероприятие, в ходе которого новые монеты или токены можно получить бесплатно, чтобы привлечь внимание общественности). Нажав на Распределение претензий кнопка отображает запрос на транзакцию для подтверждения жертвой. Если они это сделают, весь их баланс будет отправлен на кошелек и — что неудивительно — взамен не будет предоставлено ни монеты, ни токена.

При изучении исходного кода вредоносного сайта были обнаружены маркеры, оставленные инструментом копирования веб-сайтов, что свидетельствует о том, что сайт является прямой копией настоящего криптовалютного проекта.

Рисунок 5 Исходный код вредоносного сайта с маркерами из инструмента копирования веб-сайтов

Инструменты копирования веб-сайтов позволяют преступникам, стоящим за этими кампаниями по утечке криптовалюты, быстро и масштабно подделывать легитимные криптовалютные проекты, требуя лишь небольших изменений (и минимальных технических навыков) для внедрения вредоносной полезной нагрузки для утечки.

IPFS-шлюзы

IPFS означает IМежпланетная файловая система (ИПФС); это децентрализованная сеть хранения и доставки. В отличие от обычного веба, где большая часть контента размещается на централизованных серверах, IPFS воплощает в себе дух Web 3.0 и основан на одноранговых (P2P) сетях, не требуя третьих лиц или централизованных органов. Это означает, что сложнее удалить вредоносный контент в сети, что делает IPFS идеальным для киберпреступников, когда проведение кампаний фишинговых атак.

Read more:  Российское энергетическое оружие не срабатывает должным образом

Хотя URL-адреса IPFS не доступны напрямую в большинстве популярных браузеров, к ним можно получить доступ через различные IPFS-шлюзы такой как ipfs.io. Аналитики Netcraft уже обнаружили преступников, использующих шлюзы IPFS для криптоутечки. Поскольку IPFS теперь широко используется на легитимных платформах Web3, жертвы могут с меньшим подозрением относиться к, казалось бы, случайным URL-адресам. Например, мы обнаружили криптоутечку, размещенную на IPFS, имитирующую проект akash.network, который описывает себя как «децентрализованный компьютерный рынок».

Рисунок 6. Клон akash.network, предназначенный для утечки криптовалют.

Контент, размещенный на IPFS в этой атаке, не содержит вредоносную полезную нагрузку JavaScript, используемую для выполнения осушения. Вместо этого он размещен на «npm-js[.]top», который подделывает популярный менеджер пакетов JavaScript «npmjs.com». Скрипт сильно запутан, что затрудняет идентификацию его как мошенничества с кражей криптовалюты и извлечение полезной информации (например, адреса назначения).

Рисунок 7. Вредоносный обфусцированный скрипт-сливщик, скрытый под npm-js[.]вершина.

Следующий криптоудалитель, распространяемый через шлюзы IPFS, маскирующийся под токен Pandora Labs ERC-404, также использует вредоносный скрипт в cdn-bunny[.]com, домен, зарегистрированный специально для того, чтобы выглядеть как сеть доставки контента (CDN) bunny.net.

Рисунок 8. Криптовалютный угонщик на IPFS с вредоносным скриптом в cdn-bunny[.]ком.

Вредоносные домены для утечки криптовалюты

Еще один крипто-краулер, имитирующий ListaDAO, доступен на IPFS по адресу с хешем «bafybeia2pskjjyxn2nyv5djpdqusz4myivoyd42mwji2e6oj7qfybcyz7aВредоносный фрагмент JavaScript находится под «cdn-npm[.]xyz», еще один домен, который подделывает npmjs.com. Все следующие домены были зарегистрированы в тесной последовательности, что позволяет предположить, что домены были зарегистрированы намеренно в рамках недавней кампании по сливанию средств:

  • npm-js[.]топ (зарегистрирован 12 мая 2024 г.)
  • cdn-кролик[.]com (зарегистрирован 26 мая 2024 г.)
  • cdn-npm[.]xyz (зарегистрирован 2 июня 2024 г.)

Эти домены, вероятно, используются для сокрытия вредоносной нагрузки от специалистов по безопасности, одновременно централизуя конфигурацию крипто-дренажа. Это позволяет преступнику позже изменить адрес кошелька назначения (что было бы невозможно, если бы эта конфигурация хранилась исключительно в IPFS).

Read more:  Эрика Джейн раскритиковала Джона Хэмма за комментарии по поводу ее бриллиантовых серег и дразнит бой Роба с Дениз Ричардс

Подобия CDN могут быть признаком атак по всей цепочке поставок программного обеспечения в целом, что потенциально позволяет преступникам скрывать вредоносный код на легитимных сайтах, избегая обнаружения.

Предотвращение новой масштабной атаки

Netcraft предоставляет услуги по обнаружению, пресечению и удалению киберпреступлений организациям по всему миру, включая 17 из 50 крупнейших мировых банков и многие из крупнейших криптовалютных бирж в мире. В настоящее время пресекая более 100 уникальных типов атак, команды и системы Netcraft постоянно отслеживают уникальные и инновационные атаки, такие как мошенничество с утечкой криптовалюты, чтобы защитить мир от киберпреступности.

Уникальная видимость Netcraft в отношении интернет-финансового мошенничества позволяет нам предоставлять комплексные разведывательные каналы с платежными реквизитами, полученными из преступной деятельности в различных криптовалютах, а также банковских счетов по всему миру. Это включает в себя собственные разведданные, собранные с помощью нашего нового Служба разведки разговорного мошенничества который проактивно извлекает криптокошельки, счета мулов и другие формы оперативной информации из Мошенничество с обменом сообщениями между пользователями.

Netcraft впервые обнаружил и отреагировал на вредоносный хэш IPFS еще в 2016 году, и мы продолжаем обнаруживать, блокировать и смягчать вредоносные хэши контента в сети IPFS каждый день. На момент написания статьи мы завершили более 15 000 фишинговых остановок шлюза IPFS.

Чтобы узнать больше о том, как Netcraft может помочь, закажите демонстрация с нашей командой экспертов.

2024-07-10 13:11:48


1720629098
#Два #клика #от #нуля #мошеннические #схемы #по #выкачиванию #криптовалюты #использованием #IFPS #использующие #похожие #CDN

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.