Второй квартал ознаменовался ростом числа «психологически манипулятивных» атак на пользователей криптовалют, поскольку хакеры придумывали все более изощренные и креативные способы кражи криптоактивов, сообщает компания SlowMist, специализирующаяся на безопасности блокчейна.
Глава операционного отдела SlowMist, Лиза, сообщила в отчете о кражах средств за второй квартал (Q2 MistTrack Stolen Fund Analysis), что, несмотря на отсутствие прогресса в хакерских техниках, схемы мошенничества стали более сложными: участились случаи поддельных расширений для браузеров, взломанных аппаратных кошельков и атак с использованием социальной инженерии.
“Оглядываясь на второй квартал, выделяется одна тенденция: методы злоумышленников могут и не становиться технически более продвинутыми, но они становятся все более психологически манипулятивными.”
“Мы наблюдаем явный сдвиг от чисто ончейн-атак к офчейн-точкам входа: расширения для браузеров, аккаунты в социальных сетях, процессы аутентификации и поведение пользователей становятся все более распространенными поверхностями для атак”, — отметила Лиза.
Зловредные расширения для браузера маскируются под плагины безопасности
Ирония заключается в том, что одним из новых векторов атак стали расширения для браузеров, выдающие себя за плагины безопасности, например, расширение “Osiris” для Chrome, которое якобы обнаруживает фишинговые ссылки и подозрительные веб-сайты.
Вместо этого расширение перехватывает все загрузки файлов с расширениями .exe, .dmg и .zip, заменяя их вредоносными программами.
“Более коварно то, что злоумышленники направляли пользователей на посещение известных и часто используемых веб-сайтов, таких как Notion или Zoom”, — пояснила Лиза.
“Когда пользователь пытался загрузить программное обеспечение с этих официальных сайтов, полученные файлы уже были злонамеренно заменены, но браузер все равно отображал загрузку как происходящую из легитимного источника, что делало почти невозможным обнаружение чего-либо подозрительного.”
Затем эти программы собирали конфиденциальную информацию с компьютера пользователя, включая данные браузера Chrome и учетные данные macOS Keychain, предоставляя злоумышленнику доступ к сид-фразам, приватным ключам или данным для входа.
Атаки играют на тревожности крипто-пользователей
SlowMist сообщила, что еще один метод атак был направлен на обман крипто-инвесторов, заставляя их использовать взломанные аппаратные кошельки.
В некоторых случаях хакеры отправляли пользователям скомпрометированный холодный кошелек, сообщая жертвам, что они выиграли бесплатное устройство в “лотерее” или что их существующее устройство было взломано, и им нужно перевести свои активы.
Во втором квартале одна жертва потеряла 6,5 миллиона долларов, купив взломанный холодный кошелек, который она увидела в TikTok, сообщает Лиза.
Другой злоумышленник продал жертве аппаратный кошелек, который он уже предварительно активировал, позволяя ему немедленно вывести средства, как только новый пользователь перевел свои криптовалютные активы для хранения.
Социальная инженерия с использованием поддельного веб-сайта отзыва
SlowMist сообщила, что во втором квартале к ним обратился пользователь, который не мог отозвать «рискованную авторизацию» в своем кошельке.
При расследовании SlowMist обнаружила, что веб-сайт, который использовал пользователь для отзыва разрешения смарт-контракта, был «почти идеальной копией популярного интерфейса Revoke Cash», который просил пользователей ввести свой приватный ключ для «проверки рискованных подписей».
“Проанализировав код фронтенда, мы подтвердили, что этот фишинговый веб-сайт использовал EmailJS для отправки введенных пользователями данных — включая приватные ключи и адреса — на электронную почту злоумышленника.”
“Эти атаки с использованием социальной инженерии не являются технически сложными, но они преуспевают в использовании срочности и доверия”, — сказала Лиза.
“Злоумышленники знают, что такие фразы, как «обнаружена рискованная подпись», могут вызвать панику, заставляя пользователей принимать поспешные решения. Как только это эмоциональное состояние вызвано, гораздо легче манипулировать ими, заставляя делать то, чего они обычно не стали бы делать — например, переходить по ссылкам или делиться конфиденциальной информацией.”
Атаки используют обновление Pectra, WeChat
Другие атаки включали фишинговые техники, использующие EIP-7702, представленный в последнем обновлении Pectra для Ethereum, в то время как другая была нацелена на нескольких пользователей WeChat, получив контроль над их учетными записями.
Недавно CoinTelegraph Magazine сообщила, что злоумышленники использовали систему восстановления учетной записи WeChat, чтобы получить контроль над учетной записью, выдав себя за настоящего владельца, чтобы обмануть свои контакты со скидкой на Tether (USDT).
Данные SlowMist за второй квартал были получены из 429 отчетов о краже средств, представленных компании во втором квартале.
Компания заявила, что заморозила и восстановила около 12 миллионов долларов от 11 жертв, которые сообщили о краже криптовалюты во втором квартале.
