Prethodno neotkrivena prevara s kriptovalutama iskoristila je konstelaciju od preko 1.000 lažnih web stranica kako bi uvukla korisnike u lažnu šemu nagrađivanja najmanje od januara 2021. godine.
“Ova masivna kampanja je vjerovatno rezultovala prevarama na hiljade ljudi širom svijeta” rekli su Trend Micro istraživači u izvještaju objavljenom prošle sedmice, povezujući ga sa hakerom koji govori ruski pod imenom “Impuls tim”.
“Prevara funkcioniše putem napredne prevare s naknadama koja uključuje prevare žrtve da povjeruju da su osvojile određenu količinu kriptovalute. Međutim, da bi dobile svoje nagrade, žrtve bi trebale platiti mali iznos da otvore račun na svojoj web stranici.”
Lanac kompromisa počinje direktnom porukom koja se širi putem Twitter-a kako bi se potencijalne mete namamile da posjete lokaciju za mamce. Račun odgovoran za slanje poruka je u međuvremenu zatvoren.
U poruci se primaoci pozivaju da se prijave za račun na web stranici i primjene promotivni kod naveden u poruci kako bi osvojili nagradu u kriptovaluti u iznosu od 0,78632 bitcoina (oko 20.300 dolara).
Ali kada se nalog postavi na lažnoj platformi, od korisnika se traži da aktiviraju nalog tako što će uplatiti minimalni depozit u vrednosti od 0,01 bitcoin (oko 258 dolara) kako bi potvrdili svoj identitet i završili povlačenje.
“Iako je relativno velik, iznos potreban za aktivaciju računa blijedi u poređenju sa onim što bi korisnici dobili zauzvrat” primijetili su istraživači. “Međutim, kao što se i očekivalo, primaoci nikada ne dobiju ništa zauzvrat kada uplate iznos za aktivaciju.”
Javni Telegram kanal koji bilježi svaku uplatu žrtava pokazuje da su nezakonite transakcije donijele hakerima nešto više od 5 miliona dolara u periodu od 24. decembra 2022. godine do 8. marta 2023. godine.
Trend Micro je saopštio da je otkrio stotine domena povezanih s ovom prevarom, a neki od njih bili su aktivni još 2016. godine. Sve lažne web stranice pripadaju pridruženom “prevarantskom kripto projektu” kodnog imena Impulse koji se oglašava na ruskim forumima o kibernetičkom kriminalu od februara 2021. godine.
Kao i operacije ransomware-as-a-service (RaaS), ovaj poduhvat zahtjeva od hakera da plate naknadu da bi se pridružili programu i da podijele postotak zarade s originalnim autorima.
Da bi ovoj operaciji dali dozu legitimiteta, vjeruje se da su hakeri stvorili sličnu verziju poznatog alata za borbu protiv prevara poznatog kao ScamDoc, koji dodjeljuje ocjenu povjerenja za različite web stranice, u uvjerljivom pokušaju da prikažu kripto usluge kao pouzdane.
Trend Micro je rekao da je takođe naišao na privatne poruke, video zapise na mreži i oglase na drugim društvenim mrežama kao što su TikTok i Mastodon, što ukazuje da podružnice koriste širok spektar metoda za oglašavanje lažnih aktivnosti.
“Haker pojednostavljuje operacije svojim filijalama pružajući hosting i infrastrukturu kako bi sami mogli pokrenuti ove web stranice za prevare” rekli su istraživači. “Povezane osobe se tada mogu koncentrisati na druge aspekte operacije, kao što je vođenje vlastitih reklamnih kampanja.”
Otkrića dolaze nekoliko sedmica nakon što je Akamai objavio novu rumunsku kampanju cryptojacking-a pod nazivom Diicot (ranije Mexals) koja koristi modul crva baziran na Golang Secure Shell (SSH) i novi LAN širitelj za propagaciju.
Zatim je prošlog mjeseca, Elastic Security Labs detaljno opisao korištenje open-source rootkit-a pod nazivom r77 za implementaciju rudara kriptovaluta XMRig u nekoliko azijskih zemalja.
“Primarna svrha r77 je da sakrije prisustvo drugog softvera na sistemu spajanjem važnih Windows API-a, što ga čini idealnim alatom za kibernetičke kriminalce koji žele da izvrše prikrivene napade” rekli su istraživači.
“Upotrebom r77 rootkit-a, autori malicioznog kripto rudara uspjeli su izbjeći otkrivanje i nastaviti svoju kampanju neotkriveni.”
Vrijedi naglasiti da je r77 rootkit takođe ugrađen u SeroXen, novonastalu varijantu Quasar alata za udaljenu administraciju koja se prodaje za samo 30 USD za mjesečnu licencu ili 60 USD za doživotni paket.
Izvor: The Hacker News