Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / IT / 100K RETURNED MALVERTISING

100.000 $ restituiti: smantellata una truffa cripto via malvertising

The Enablers Registry·Editorial mirror·/it/100k-returned-malvertising

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Approfondimento • 5–7 min di lettura

100.000 $ restituiti — truffa di malvertising sventata

Dei truffatori russi si sono spacciati per un progetto nel settore delle criptovalute utilizzando malvertising e malware di tipo "stealer". Abbiamo individuato l'operazione, ripristinato l'accesso ai wallet e restituito oltre 100.000 dollari. I fondi recuperati in eccesso sono stati donati a @_SEAL_Org. Di seguito: analisi dettagliata, IOC e insegnamenti tratti.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Pubblicato originariamente su Medium — THE ENABLERS REGISTRY

Panoramica

Un progetto di criptovaluta è stato vittima di un attacco di ingegneria sociale mascherato da partnership pubblicitaria legittima. THE ENABLERS REGISTRY ha ripristinato l'accesso al portafoglio e ha recuperato oltre 100.000 dollari in fondi compromessi, per poi destinare la ricompensa offerta a un’organizzazione esterna al fine di preservare l’indipendenza.

Cosa c'è da sapere

  • Il portafoglio era già stato violato; i fondi erano già stati trasferiti.
  • L'accesso è stato ripristinato e $100K+ gli è stato impedito di restare con l'aggressore.
  • Il progetto offriva una ricompensa, che è stata rifiutata e destinata a @_SEAL_Org invece.
  • Questo lavoro viene svolto in modo indipendente come attività autonoma, non come impiego retribuito.

Come funzionava la truffa

  • La vittima ha ricevuto una proposta di collaborazione/pubblicità relativa a un gioco basato sulle criptovalute.
  • L'attacco sembrava credibile: sito web professionale, presenza consolidata su X (Twitter), videochiamate che sembravano autentiche.
  • Durante le chiamate, gli autori degli attacchi hanno chiesto di installare un "workplace viewer" per poter accedere ai materiali.
  • Il "visualizzatore" era malware di furto.
  • Gli hacker hanno prelevato fondi, scambiato token tra diverse blockchain e trasferito le risorse nei propri portafogli.

Misure adottate in risposta

  1. È stata confermata la compromissione e ne è stato bloccato l'ulteriore avanzamento.
  2. È stato ripristinato l'accesso al portafoglio per il legittimo proprietario.
  3. Abbiamo messo in sicurezza e trasferito il controllo del portafoglio di ricezione dell'autore dell'attacco al team della vittima.
  4. Misure di follow-up coordinate volte a ridurre il rischio residuo.
Risultato: Accesso ripristinato, controllo riottenuto, autore dell'attacco bloccato.

Rafforzamento della sicurezza dopo un incidente

Sicurezza dei dispositivi

  • Guida dettagliata per gestire in sicurezza i dispositivi infetti
  • Isolamento della rete, revoca delle sessioni, rotazione delle credenziali e delle chiavi, piano di ricostruzione completa

Configurazione operativa

  • Una postazione di lavoro nuova e pulita dedicata alle operazioni relative ai portafogli
  • Sistema operativo aggiornato, download disponibili solo dal produttore, portafoglio hardware, numero minimo di estensioni, profilo browser separato, autenticazione a due fattori (2FA)

Preparazione all'esame di medicina legale

  • Linee guida relative alle istantanee dei dischi e alla raccolta dei log di sistema e delle applicazioni
  • Conservazione delle prove in vista di un’eventuale indagine giudiziaria

Comprendere il concetto di "adverting"

Pubblicità Si tratta di una forma di ingegneria sociale in ambito aziendale in cui i criminali simulano normali flussi di lavoro (acquisti pubblicitari, partnership, relazioni pubbliche) per indurre gli utenti a installare "client" dannosi.

Segnali di allarme comuni:

  • "Installa il nostro gestore/strumento di supporto per gli annunci per sincronizzare i contenuti pubblicitari"
  • "Utilizza il nostro client personalizzato di Zoom/[REDACTED] per la chiamata"
  • "Apri il nostro media kit/accordo di riservatezza tramite un visualizzatore sicuro"
Regola fondamentale: Se un flusso di lavoro proveniente da fonti sconosciute richiede un client/visualizzatore/programma di aggiornamento specifico, si deve presumere che si tratti di un'azione ostile. Utilizzare esclusivamente i download ufficiali forniti dal produttore.

La ricompensa e l'indipendenza

  • Il progetto ha offerto una ricompensa poiché il recupero ha superato la perdita iniziale.
  • THE ENABLERS REGISTRY ha deciso di non accettare la ricompensa.
  • L'intero surplus è stato destinato a @_SEAL_Org.
  • Ciò garantisce l'indipendenza: nessun flusso di finanziamenti né obblighi.

Principi fondamentali

  • Solo indipendenza — senza vincoli di bilancio né condizioni.
  • Un approccio incentrato sui risultati piuttosto che sulla discussione.
  • Opposizione a qualsiasi "cliente speciale" o software non verificato.
  • Una divulgazione selettiva che aiuti le vittime, non gli autori delle minacce.
  • Pressione diretta sull'infrastruttura dell'autore dell'attacco.

Raccomandazioni pratiche

Per progetti e team

  • Non installare mai programmi di visualizzazione, client o strumenti di aggiornamento per l'ambiente di lavoro provenienti da terze parti non verificate.
  • Scarica Zoom/[REDACTED] solo dai siti ufficiali dei fornitori.
  • Evita i link sponsorizzati relativi a wallet, bridge e airdrop.
  • È preferibile optare per portafogli hardware con archiviazione offline del seed.
  • In caso di compromissione: revocare le sessioni, trasferire i fondi, ruotare le chiavi, riemettere i segreti, chiedere immediatamente aiuto.

Per la Comunità

Conclusione

Nonostante i fondi siano già stati trasferiti, THE ENABLERS REGISTRY accesso ripristinato e ha garantito che l'autore dell'attacco non potesse trattenere i beni sottratti. Rifiutando la ricompensa e destinando i fondi in eccesso ad altre finalità, l'organizzazione mantiene il proprio modello operativo autonomo e senza retribuzione, incentrato su una risposta rapida ed efficace agli incidenti.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Condividi questa indagine

Indagini correlate

INDAGINE APPROFONDITA
Anatomia del possibly phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed
INDAGINE
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
INDAGINE
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings