$100K Returned — Malvertising Scam Foiled
Dei truffatori russi si sono spacciati per un progetto nel settore delle criptovalute utilizzando malvertising e malware di tipo "stealer". Abbiamo individuato l'operazione, ripristinato l'accesso ai wallet e restituito oltre 100.000 dollari. I fondi recuperati in eccesso sono stati donati a @_SEAL_Org. Di seguito: analisi dettagliata, IOC e insegnamenti tratti.

Panoramica
Un progetto di criptovaluta è stato vittima di un attacco di ingegneria sociale mascherato da partnership pubblicitaria legittima. PhishDestroy ha ripristinato l'accesso al portafoglio e ha recuperato oltre 100.000 dollari in fondi compromessi, per poi destinare la ricompensa offerta a un’organizzazione esterna al fine di preservare l’indipendenza.
Cosa c'è da sapere
- Il portafoglio era già stato violato; i fondi erano già stati trasferiti.
- L'accesso è stato ripristinato e $100K+ gli è stato impedito di restare con l'aggressore.
- Il progetto offriva una ricompensa, che è stata rifiutata e destinata a @_SEAL_Org invece.
- Questo lavoro viene svolto in modo indipendente come attività autonoma, non come impiego retribuito.
Come funzionava la truffa
- La vittima ha ricevuto una proposta di collaborazione/pubblicità relativa a un gioco basato sulle criptovalute.
- L'attacco sembrava credibile: sito web professionale, presenza consolidata su X (Twitter), videochiamate che sembravano autentiche.
- Durante le chiamate, gli autori degli attacchi hanno chiesto di installare un "workplace viewer" per poter accedere ai materiali.
- Il "visualizzatore" era malware di furto.
- Gli hacker hanno prelevato fondi, scambiato token tra diverse blockchain e trasferito le risorse nei propri portafogli.
Misure adottate in risposta
- È stata confermata la compromissione e ne è stato bloccato l'ulteriore avanzamento.
- È stato ripristinato l'accesso al portafoglio per il legittimo proprietario.
- Abbiamo messo in sicurezza e trasferito il controllo del portafoglio di ricezione dell'autore dell'attacco al team della vittima.
- Misure di follow-up coordinate volte a ridurre il rischio residuo.
Rafforzamento della sicurezza dopo un incidente
Sicurezza dei dispositivi
- Guida dettagliata per gestire in sicurezza i dispositivi infetti
- Isolamento della rete, revoca delle sessioni, rotazione delle credenziali e delle chiavi, piano di ricostruzione completa
Configurazione operativa
- Una postazione di lavoro nuova e pulita dedicata alle operazioni relative ai portafogli
- Sistema operativo aggiornato, download disponibili solo dal produttore, portafoglio hardware, numero minimo di estensioni, profilo browser separato, autenticazione a due fattori (2FA)
Preparazione all'esame di medicina legale
- Linee guida relative alle istantanee dei dischi e alla raccolta dei log di sistema e delle applicazioni
- Conservazione delle prove in vista di un’eventuale indagine giudiziaria
Comprendere il concetto di "adverting"
Pubblicità Si tratta di una forma di ingegneria sociale in ambito aziendale in cui i criminali simulano normali flussi di lavoro (acquisti pubblicitari, partnership, relazioni pubbliche) per indurre gli utenti a installare "client" dannosi.
Segnali di allarme comuni:
- "Installa il nostro gestore/strumento di supporto per gli annunci per sincronizzare i contenuti pubblicitari"
- "Utilizza il nostro client personalizzato di Zoom/Telegram per la chiamata"
- "Apri il nostro media kit/accordo di riservatezza tramite un visualizzatore sicuro"
La ricompensa e l'indipendenza
- Il progetto ha offerto una ricompensa poiché il recupero ha superato la perdita iniziale.
- PhishDestroy ha deciso di non accettare la ricompensa.
- L'intero surplus è stato destinato a @_SEAL_Org.
- Ciò garantisce l'indipendenza: nessun flusso di finanziamenti né obblighi.
Principi fondamentali
- Solo indipendenza — senza vincoli di bilancio né condizioni.
- Un approccio incentrato sui risultati piuttosto che sulla discussione.
- Opposizione a qualsiasi "cliente speciale" o software non verificato.
- Una divulgazione selettiva che aiuti le vittime, non gli autori delle minacce.
- Pressione diretta sull'infrastruttura dell'autore dell'attacco.
Raccomandazioni pratiche
Per progetti e team
- Non installare mai programmi di visualizzazione, client o strumenti di aggiornamento per l'ambiente di lavoro provenienti da terze parti non verificate.
- Scarica Zoom/Telegram solo dai siti ufficiali dei fornitori.
- Evita i link sponsorizzati relativi a wallet, bridge e airdrop.
- È preferibile optare per portafogli hardware con archiviazione offline del seed.
- In caso di compromissione: revocare le sessioni, trasferire i fondi, ruotare le chiavi, riemettere i segreti, chiedere immediatamente aiuto.
Per la Comunità
- Segnala attività sospette tramite il nostro bot su Telegram.
- Accedi alle linee guida e alle risorse relative alle azioni fondamentali all'indirizzo phishdestroy.io/azione-critica.
Conclusione
Nonostante i fondi siano già stati trasferiti, PhishDestroy accesso ripristinato e ha garantito che l'autore dell'attacco non potesse trattenere i beni sottratti. Rifiutando la ricompensa e destinando i fondi in eccesso ad altre finalità, l'organizzazione mantiene il proprio modello operativo autonomo e senza retribuzione, incentrato su una risposta rapida ed efficace agli incidenti.



