Подставной криптокошелек, или как украсть у вора

[KrevetO4ka]

«Благородные жулики» атакуют нечистых на руку криптопользователей, имитируя утечки данных криптокошельков и месяцами обрабатывая своих жертв.

 

[KrevetO4ka]

Несколько месяцев мы с интересом изучали новую, очень элегантную схему криптомошенничества, жертв которой искусно и неторопливо побуждают установить вредоносное приложение для управления криптовалютой. Впрочем, «жертвами» их можно назвать условно, ведь разработчики этой схемы, словно цифровые Робин Гуды, нацеливают ее в первую очередь на… других воришек! Мы разберем схему обмана и способы защиты криптовалют в деталях.

Первая приманка
Все началось с того, что мне в Telegram пришло вполне тривиальное сообщение на криптотематику, пересланное от другого пользователя. Возможно, кто-то другой не увидел бы в этом ничего подозрительного, но… Как тимлид группы аналитиков веб-контента «Лаборатории Касперского» я насторожился и стал изучать пришедший спам детальнее. Текст в нем для ухода от детектирования был «обернут» в пятисекундный видеоролик сo скриншотом объявления о спешной, с огромным дисконтом продаже пары прибыльных криптопроектов и ссылками на них. Первая ссылка на предполагаемый объект продажи вела на небольшую, но реально работающую криптобиржу второго эшелона — вероятнее всего, для усыпления бдительности жертв. Но настоящая приманка скрывалась за второй ссылкой.


Удобная ошибка сервера
Никакого вредоносного контента, как можно было бы ожидать, по второй ссылке не обнаружилось. Все было куда интереснее: после ввода адреса вместо титульной страницы сайта отображался… листинг корневой директории с заманчивыми именами файлов. Выглядело так, как будто сервер неправильно настроили или случайно удалили с него домашнюю страницу — и он выдавал список всех файлов в корневом каталоге сайта, якобы сливая всю информацию ничего не подозревающего владельца домена. Можно было кликнуть на любой файл в списке и просмотреть его содержимое прямо в браузере, ведь все они — как удивительно! — хранились в простых и удобных форматах — TXT, PDF, PNG или JPG.


Все это создавало ощущение, что мы влезли в личную папку богатого, но недалекого владельца некоего криптопроекта: в текстовых файлах обнаружились реквизиты криптокошельков, включая сид-фразы, в графических — скриншоты, подтверждающие успешный перевод крупной суммы в крипте, а также демонстрирующие большие остатки в кошельках и роскошный образ жизни владельца.

Так, на одном из скриншотов фоном висит открытая вкладка YouTube с инструкцией по покупке «Феррари» и яхт за биткойны; кстати, каталог яхт легко найти в лежащем по соседству PDF. В общем, богатая положена приманка.


Реальные кошельки и деньги
Элегантная особенность схемы — реквизиты криптокошельков настоящие, и можно действительно получить к ним доступ и увидеть, например, историю транзакций кошелька Exodus или активы в других кошельках — почти $150 тысяч по версии DeBank.


Правда, деньги вывести не получится, потому что они находятся в стейкинге (грубо говоря — заморожены во вкладе). Тем не менее это сильно снижает скепсис посетителя: кажется, это не спам и не фишинг, а настоящая утечка чьей-то информации, допущенная по небрежности. К тому же нигде нет никаких внешних ссылок или вредоносных файлов — ничего подозрительного!

 

[KrevetO4ka]

Мы наблюдали за сайтом в течение двух месяцев, и все это время на нем ничего не менялось. Видимо, мошенники накапливали критическую массу заинтересованных лиц, отслеживая их поведение при помощи аналитики веб-сервера. Только после такого длительного «прогрева» они перешли к следующему этапу атаки.

Новая надежда
После драматической двухмесячной паузы на сайте наконец-то обновление: появляется свежий скриншот с Telegram-чатом, в котором якобы успешно проводится очередная выплата в токенах Monero. На том же скриншоте заметно некое приложение кошелька Electrum-XMR с логом транзакций и общим, очень немалым, остатком на счету: почти 6000 XMR — токенов Monero (на момент публикации поста это около миллиона долларов).


А по соседству со скриншотом по «счастливой случайности» возник и новый текстовый файл, содержащий сид-фразу от этого кошелька.


Любой нечистый на руку человек в этот момент наверняка побежит скачивать кошелек Electrum для того, чтобы войти в аккаунт «невнимательного лопуха» и перевести себе все оставшиеся деньги. Да вот незадача: Electrum работает только с сетью Bitcoin, а не Monero, для восстановления аккаунта в нем нужна не сид-фраза, а приватный ключ. При попытке восстановить этот ключ из сид-фразы все легальные конвертеры сообщают о ее некорректном формате.

Но алчность застит глаза — ведь на кону миллион долларов, надо спешить, пока их не украл кто-то другой, — и охотник за легкими деньгами отправляется в Google искать либо «Electrum-XMR», либо просто «Electrum Monero». В любом случае в топе выдачи окажется сайт, якобы посвященный форку популярного Bitcoin-кошелька Electrum, но для работы с Monero.


Этот сайт напоминает по дизайну оригинальный Electrum и в лучших традициях open source содержит различные описания, ссылки на GitHub (правда, на оригинальный Electrum, а не Electrum-XMR), явное указание, что это не обычный Electrum, а форк для Monero, и удобные прямые ссылки на скачивание версий для Mac, Windows и Linux.


И вот наш охотник незаметно для себя превращается в жертву. Если скачать и установить Electrum-XMR, компьютер будет заражен вредоносным ПО Backdoor.OLE2.RA-Based.a, обеспечивающим скрытый удаленный доступ атакующих к компьютеру. Далее, вероятно, они анализируют содержимое компьютера и крадут данные криптокошельков и любую другую ценную информацию.

Впрочем, наша защита пресекла бы даже сам заход на вредоносный сайт, не говоря уж о попытке установить троян, — да вот только вряд ли жадные до чужих денег «криптоохотники» ею пользуются.

 

[KrevetO4ka]

И вдруг бац — вторая смена!
Закончив разбирать эту удивительно интересную с точки зрения социальной инженерии схему, мы совсем не удивились, получив через некоторое время еще одну похожую наживку, — правда, тут вместо «медленного томления» мошенники воспользовались «прямой прожаркой»: на скриншоте вновь фейковый кошелек с большим балансом, а рядом — открытый текстовый файл с массой приватной информации и даже заботливо прописанной ссылочкой на вредоносный сайт. Так что схема, очевидно, оказалась вполне рабочей, и впереди нас ждет еще много подобных атак.

 

[KrevetO4ka]

Как распознать атаку
В разобранной нами схеме «жертва» не вызывает ни малейшего сочувствия — ведь она попадается на удочку, попытавшись украсть чужие деньги. Но мошенники постоянно придумывают новые уловки и в следующий раз могут предложить вполне «этичный» способ заработка — например, из скриншота вы случайно узнаете про очень выгодный airdrop, да и ссылка будет прямо в адресной строке прописана…

Поэтому всегда нужно сохранять бдительность и скептически оценивать информацию. В этой атаке каждый ее этап был по-своему подозрителен. Реклама продажи сайта в виде видеоролика со скриншотом явно оформлена так, чтобы обходить антиспам-алгоритмы. Сайт, не содержащий ничего от собственно сайта, кроме незашифрованных текстовых файлов с данными криптокошельков, выглядит слишком хорошо, чтобы быть правдой. Домен, на котором размещался якобы форк криптокошелька, был зарегистрирован всего за два месяца до момента атаки. Ну а главное — в сложившейся вокруг криптовалют ситуации с высоким уровнем мошенничества использовать малоизвестные приложения криптокошельков — недопустимый риск. Итак:

применяйте только крупные и проверенные приложения криптокошельков и сайты криптобирж;
тщательно проверяйте, что получаете к ним доступ только через официальные сайты и скачиваете из корректных источников;
изучите признаки онлайн-мошенничества;
используйте полноценную защиту своих компьютеров и смартфонов, чтобы избежать посещения фишинговых сайтов и запуска зловредов;