Возвращено $100 000 — схема с вредоносной рекламой сорвана
Российские мошенники выдали себя за криптопроект, используя вредоносную рекламу и вредоносное ПО для кражи данных. Мы выявили эту операцию, восстановили доступ к кошелькам и вернули более 100 тысяч долларов. Дополнительные возвращенные средства были переданы в качестве пожертвования организации @_SEAL_Org. Ниже приведены подробная разбивка, IOC и выводы.
Обзор
Криптовалютный проект стал жертвой атаки с использованием методов социальной инженерии, замаскированной под законное рекламное партнерство. Компания THE ENABLERS REGISTRY восстановила доступ к кошельку и вернула более 100 000 долларов из средств, подвергшихся риску, а затем перенаправила предложенное вознаграждение внешней организации, чтобы сохранить независимость.
Что нужно знать
- Кошелек уже был взломан; средства уже были переведены.
- Доступ был восстановлен, и $100K+ ему не позволили остаться с нападавшим.
- В рамках проекта было предложено вознаграждение, от которого отказались и которое было перенаправлено на @_SEAL_Org вместо этого.
- Эта работа выполняется самостоятельно в рамках профессиональной деятельности, а не в качестве оплачиваемой работы.
Как действовала эта мошенническая схема
- Потерпевший получил предложение о партнерстве/рекламе криптовалютной игры.
- Атака выглядела правдоподобно: профессиональный веб-сайт, устоявшаяся аккаунт в X (Twitter), видеозвонки, выглядевшие вполне достоверно.
- Во время телефонных разговоров злоумышленники просили установить программу «Workplace Viewer» для доступа к материалам.
- «Просмотрщик» был вредоносное ПО-крадец.
- Злоумышленники сняли средства, обменяли токены между цепочками и перевели активы в свой кошелек.
Принятые ответные меры
- Подтверждено проникновение и остановлено дальнейшее продвижение.
- Восстановлен доступ к кошельку для его законного владельца.
- Обеспечено и передано команде жертвы управление кошельком злоумышленника, на который поступают средства.
- Скоординированные последующие меры по снижению остаточного риска.
Укрепление безопасности после инцидента
Безопасность устройств
- Пошаговая инструкция по безопасному обращению с зараженными устройствами
- Изоляция сети, аннулирование сеансов, ротация учетных данных и ключей, план полного восстановления
Настройка рабочего режима
- Новое, чистое рабочее место, предназначенное для работы с кошельками
- Новая версия ОС, загрузка только от официальных источников, аппаратный кошелек, минимальное количество расширений, отдельный профиль браузера, двухфакторная аутентификация
Подготовка к судебной экспертизе
- Рекомендации по созданию моментальных снимков дисков и сбору системных и прикладных журналов
- Сохранение доказательств для возможного судебного расследования
Понимание понятия «реклама»
Реклама — это социальная инженерия в деловом стиле, при которой преступники имитируют обычные рабочие процессы (покупка рекламы, партнерские отношения, PR), чтобы обманным путём заставить пользователей установить вредоносные «клиенты».
Распространенные предупреждающие признаки:
- «Установите наш менеджер/помощник по рекламе для синхронизации рекламных материалов»
- «Воспользуйтесь нашим специальным клиентом Zoom/[REDACTED] для звонка»
- «Откройте наш медиа-кит/соглашение о неразглашении с помощью защищённого просмотрщика»
Награда и независимость
- В рамках проекта было выплачено вознаграждение, поскольку сумма возмещения превысила первоначальный ущерб.
- THE ENABLERS REGISTRY отказался от вознаграждения.
- Весь излишек был направлен на @_SEAL_Org.
- Это позволяет сохранить независимость — никаких источников финансирования и никаких обязательств.
Основные принципы
- Только независимость — без бюджетов и каких-либо условий.
- Подход, ориентированный на результат, а не на обсуждение.
- Неприятие любых «особых клиентов» или непроверенного программного обеспечения.
- Избирательное раскрытие информации, которое помогает жертвам, а не злоумышленникам.
- Прямое давление на инфраструктуру злоумышленников.
Практические рекомендации
Для проектов и команд
- Ни в коем случае не устанавливайте программы просмотра, клиентские приложения или программы обновления от непроверенных сторонних разработчиков.
- Загружайте приложения Zoom и [REDACTED] исключительно с официальных сайтов разработчиков.
- Избегайте спонсируемых ссылок на кошельки, мосты и аирдропы.
- Отдавайте предпочтение аппаратным кошелькам с автономным хранением семенной фразы.
- В случае взлома: прервите сеансы, переведите средства, произведите ротацию ключей, перевыпустите секретные данные, немедленно обратитесь за помощью.
Для сообщества
- Сообщите о подозрительной активности через наш бот в [REDACTED].
- Получите доступ к рекомендациям и материалам по принятию важных мер по адресу enablers.report/critical-action.
Заключение
Несмотря на то, что средства уже переведены, THE ENABLERS REGISTRY восстановленный доступ и обеспечила, чтобы злоумышленник не смог удержать похищенные активы. Отказавшись от вознаграждения и направив излишние средства на другие цели, организация сохраняет свою некоммерческую, независимую модель работы, ориентированную на быстрое и эффективное реагирование на инциденты.
