В криптосообществе появились сообщения о краже цифровых активов после «обновления Zoom», которое на самом деле устанавливает вредоносную программу-дрейнер. Схема начинается с дружелюбного приглашения на видеоконференцию и заканчивается полной очисткой кошельков жертв
Рассказываем, как работают мошенники и что делать, чтобы не попасться на их уловки.
Узнайте, как распознать мошенничество с мемкоинами
Кража крипты через «Zoom»
Схема кражи крипты построена на объединении социальной инженерии с хитрой технической составляющей. Все начинается с того, что жертве пишет знакомый, чей аккаунт уже взломан. Так мошенники усыпляют доверие, ведь на контакт выходит не чужой человек.
После жертве предлагают пообщаться по Zoom. Предлоги могут быть разными. Например, мошенники могут жаловаться на плохое качество связи в Телеграм и другом мессенджере, через который они выходят на связь.
Следующие шаги выглядят так:
- Подмена платформы. Вместо реальной ссылки на Zoom приходит URL, который ведет на страницу-клона, открывающуюся прямо в браузере. По видео связи жертве могут транслировать сгенерированное ИИ изображение знакомого.
- Технические проблемы. Сгенерированный ИИ образ может начать жаловаться на технические проблемы, например, на отсутствие звука. Якобы для устранения проблемы жертву просят скачать файл
zoom_sdk_support. На самом деле ему предлагают скачать программу-дрейнер, цель которой — кража крипты. - Дрейнер в системе. Зараженный файл подгружает необходимые для кражи детали программы, и получает доступ к seed-фразам и session-cookies кошельков.
Судя по сообщениям в сети, мошенники чаще всего используют именно такую схему, редко меняя какие-либо ее составляющие.
По данным Huntress, на зараженном таким способом Mac удалось выявить восемь бинарных файлов — от поддельного ПО якобы для обновления Телеграм, до бэкдора с возможностью удаленного выполнения команд.
В сети есть сообщения от жертв, которые утверждают, что из-за схемы они лишились большей части накоплений.
Также пользователи, которые попались в ловушку, жалуются, что злоумышленники остаются на контакте даже после кражи крипты. По их словам, мошенники издеваются над ними в переписке.
Жертвами схемы становятся не только отдельные пользователи, но и целые компании. Известно о случаях кражи средств таким способом у фонда Hypersphere Capital.
Кто стоит за атаками
У экспертов нет единого мнения о том, на кого можно возложить ответственность за атаки. Предположительно, к ним могут быть причастны следующие организации:
- BlueNoroff / TA444 — дочерняя ячейка Lazarus Group, специализирующаяся на краже криптовалют.
- SNE и Scamquerteo — русскоязычные команды, которые продают наборы дрейнеров.
Читайте также: Киберармия Ким Чен Ына: как Северная Корея крадет крипту
Как защитить себя от атаки
| Рекомендация | Почему это важно |
|---|---|
| Проверяйте домен. Необходимо убедиться в том, что вас приглашают в Zoom, а не на поддельную платформу. | Поддельные URL часто маскируют под sub-домен. |
| Никогда не ставьте «патчи» во время звонка. Если кто-то пытается вас убедить установить какое-то ПО здесь и сейчас, игнорируйте просьбу. | Легитимный Zoom обновляется только из клиента. |
| Разделите окружения. Обычный браузер — для писем и звонков, отдельная среда — для работы с кошельками; лучше — отдельный ПК. | Уменьшает риск кросс-кражи cookies и seed-фраз. |
| Храните крипту на холодных кошельках. Так мошенники не получат доступ к вашим активам. | Даже при компрометации ОС злоумышленник не подпишет транзакцию. |
| Используйте двухфакторную аутентификацию в мессенджерах. | Снижает шанс взлома, через которые начинается фишинг. |
Пока расследования продолжаются, биржи и провайдеры кошельков советуют внимательно следить за входами в аккаунты и отозвать любые подозрительные токены доступа.
Напомним, ранее Григорий Осипов — директор по расследованиям «Шард» рассказал о том, как именно мошенники совершенствуют свои методы кражи крипты и как рядовому пользователю сети защитить свои активы.
Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.
