Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / UK / 100K RETURNED MALVERTISING

Повернуто $100 000: ліквідовано криптошахрайство зі шкідливою рекламою

The Enablers Registry·Editorial mirror·/uk/100k-returned-malvertising

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Розслідування • Час читання: 5–7 хв.

Повернуто $100 000 — схему зі шкідливою рекламою зірвано

Російські шахраї видавали себе за криптопроект, використовуючи шкідливу рекламу та шкідливе ПЗ для викрадення даних. Ми виявили цю операцію, відновили доступ до гаманців і повернули понад 100 тис. доларів. Додаткові відновлені кошти були передані організації @_SEAL_Org. Нижче наведено детальний аналіз, IOC та висновки.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Вперше опубліковано на Medium — THE ENABLERS REGISTRY

Огляд

Криптовалютний проєкт став жертвою атаки з використанням методів соціальної інженерії, замаскованої під законне рекламне партнерство. Компанія THE ENABLERS REGISTRY відновила доступ до гаманця та повернула кошти понад 100 000 доларів у кошти, що опинилися під загрозою, а потім перенаправили запропоновану винагороду зовнішній організації, щоб зберегти незалежність.

Що потрібно знати

  • Гаманець уже був зламаний; кошти вже були переведені.
  • Доступ було відновлено, і $100K+ йому не дозволили залишитися з нападником.
  • У рамках проєкту було запропоновано винагороду, від якої відмовилися, і її перенаправили до @_SEAL_Org натомість.
  • Ця робота виконується самостійно в рамках власної ініціативи, а не в рамках оплачуваної роботи.

Як діяла ця афера

  • Потерпілий отримав пропозицію щодо партнерства/реклами криптоігри.
  • Атака виглядала переконливо: професійний веб-сайт, активний профіль у X (Twitter), відеодзвінки, що здавалися справжніми.
  • Під час телефонних дзвінків зловмисники вимагали встановити програму «Workplace Viewer» для доступу до матеріалів.
  • «Переглядач» був шкідливе програмне забезпечення для крадіжки даних.
  • Зловмисники зняли кошти, обміняли токени між ланцюгами та перевели активи на свій гаманець.

Вжиті заходи у відповідь

  1. Підтверджено прорив і зупинено подальше просування.
  2. Відновлено доступ до гаманця для його законного власника.
  3. Забезпечено та передано контроль над гаманцем-одержувачем зловмисника команді потерпілого.
  4. Скоординовані подальші заходи щодо зменшення залишкового ризику.
Результат: Доступ відновлено, контроль повернено, зловмисник заблоковано.

Зміцнення безпеки після інциденту

Безпека пристроїв

  • Покрокова інструкція щодо безпечного поводження з інфікованими пристроями
  • Ізоляція мережі, скасування сеансів, ротація облікових даних/ключів, план чистої перебудови

Налаштування роботи

  • Нове, чисте робоче місце, призначене для роботи з гаманцями
  • Нова версія ОС, завантаження виключно від виробника, апаратний гаманець, мінімальна кількість розширень, окремий профіль браузера, двофакторна аутентифікація (2FA)

Підготовка до судово-медичної експертизи

  • Рекомендації щодо створення знімків дисків та збору системних і програмних журналів
  • Збереження доказів для можливого судового розслідування

Розуміння поняття «рекламування»

Реклама це соціальна інженерія в діловому стилі, коли злочинці імітують звичайні робочі процеси (купівля реклами, партнерські відносини, PR), щоб обманом змусити користувачів встановити шкідливі «клієнти».

Типові ознаки небезпеки:

  • «Встановіть наш менеджер/помічник для реклами, щоб синхронізувати рекламні матеріали»
  • «Для дзвінка скористайтеся нашим спеціальним клієнтом Zoom/[REDACTED]»
  • «Відкрити наш медіа-кіт/угоду про нерозголошення інформації за допомогою захищеного переглядача»
Основне правило: Якщо для виконання робочого процесу від невідомих сторін потрібен спеціальний клієнт, переглядач або програма оновлення, за замовчуванням слід припускати, що це шкідливе програмне забезпечення. Використовуйте лише офіційні завантаження від постачальників.

Нагорода та незалежність

  • У рамках проекту була призначена винагорода, оскільки сума відшкодування перевищила початковий збиток.
  • THE ENABLERS REGISTRY відмовився від винагороди.
  • Весь надлишок було спрямовано на @_SEAL_Org.
  • Це забезпечує незалежність — жодних джерел фінансування чи зобов’язань.

Основні принципи

  • Лише незалежність — без бюджетів та будь-яких зобов’язань.
  • Підхід, орієнтований на результати, а не на обговорення.
  • Неприйняття будь-яких «особливих клієнтів» або неперевіреного програмного забезпечення.
  • Вибіркове розкриття інформації, яке допомагає жертвам, а не зловмисникам.
  • Прямий тиск на інфраструктуру зловмисників.

Практичні рекомендації

Для проєктів та команд

  • Ніколи не встановлюйте програми для перегляду, клієнти чи програми оновлення з робочого місця від неперевірених сторонніх розробників.
  • Завантажуйте Zoom та [REDACTED] виключно з офіційних сайтів розробників.
  • Уникайте спонсорованих посилань на гаманці, мости та айрдропи.
  • Віддавайте перевагу апаратним гаманцям з офлайн-зберіганням початкового ключа.
  • У разі виявлення вторгнення: скасуйте сесії, переведіть кошти, змініть ключі, перегенеруйте секретні дані та негайно зверніться за допомогою.

Для спільноти

  • Повідомте про підозрілу діяльність через наш бот у [REDACTED].
  • Ознайомтеся з рекомендаціями щодо вжиття невідкладних заходів та відповідними матеріалами за адресою enablers.report/critical-action.

Висновок

Незважаючи на те, що кошти вже перераховано, THE ENABLERS REGISTRY відновлено доступ та забезпечила, щоб зловмисник не зміг утримати вкрадені активи. Відмовившись від винагороди та спрямувавши надлишкові кошти на інші цілі, організація зберігає свою безоплатну, незалежну модель діяльності, орієнтовану на швидке та ефективне реагування на інциденти.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Поділитися цим розслідуванням

Пов’язані розслідування

ГЛИБОКЕ РОЗСЛІДУВАННЯ
Анатомія криптофішингу: реверс-інжиніринг 8 реальних програм для викрадення сид-фраз
РОЗСЛІДУВАННЯ
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
РОЗСЛІДУВАННЯ
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings