Vai al contenuto principale
100.000 visite - Analisi del malvertising
Approfondimento • 5–7 min di lettura

$100K Returned — Malvertising Scam Foiled

Dei truffatori russi si sono spacciati per un progetto nel settore delle criptovalute utilizzando malvertising e malware di tipo "stealer". Abbiamo individuato l'operazione, ripristinato l'accesso ai wallet e restituito oltre 100.000 dollari. I fondi recuperati in eccesso sono stati donati a @_SEAL_Org. Di seguito: analisi dettagliata, IOC e insegnamenti tratti.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Pubblicato originariamente su Medium — PhishDestroy

Panoramica

Un progetto di criptovaluta è stato vittima di un attacco di ingegneria sociale mascherato da partnership pubblicitaria legittima. PhishDestroy ha ripristinato l'accesso al portafoglio e ha recuperato oltre 100.000 dollari in fondi compromessi, per poi destinare la ricompensa offerta a un’organizzazione esterna al fine di preservare l’indipendenza.

Cosa c'è da sapere

  • Il portafoglio era già stato violato; i fondi erano già stati trasferiti.
  • L'accesso è stato ripristinato e $100K+ gli è stato impedito di restare con l'aggressore.
  • Il progetto offriva una ricompensa, che è stata rifiutata e destinata a @_SEAL_Org invece.
  • Questo lavoro viene svolto in modo indipendente come attività autonoma, non come impiego retribuito.

Come funzionava la truffa

  • La vittima ha ricevuto una proposta di collaborazione/pubblicità relativa a un gioco basato sulle criptovalute.
  • L'attacco sembrava credibile: sito web professionale, presenza consolidata su X (Twitter), videochiamate che sembravano autentiche.
  • Durante le chiamate, gli autori degli attacchi hanno chiesto di installare un "workplace viewer" per poter accedere ai materiali.
  • Il "visualizzatore" era malware di furto.
  • Gli hacker hanno prelevato fondi, scambiato token tra diverse blockchain e trasferito le risorse nei propri portafogli.

Misure adottate in risposta

  1. È stata confermata la compromissione e ne è stato bloccato l'ulteriore avanzamento.
  2. È stato ripristinato l'accesso al portafoglio per il legittimo proprietario.
  3. Abbiamo messo in sicurezza e trasferito il controllo del portafoglio di ricezione dell'autore dell'attacco al team della vittima.
  4. Misure di follow-up coordinate volte a ridurre il rischio residuo.
Risultato: Accesso ripristinato, controllo riottenuto, autore dell'attacco bloccato.

Rafforzamento della sicurezza dopo un incidente

Sicurezza dei dispositivi

  • Guida dettagliata per gestire in sicurezza i dispositivi infetti
  • Isolamento della rete, revoca delle sessioni, rotazione delle credenziali e delle chiavi, piano di ricostruzione completa

Configurazione operativa

  • Una postazione di lavoro nuova e pulita dedicata alle operazioni relative ai portafogli
  • Sistema operativo aggiornato, download disponibili solo dal produttore, portafoglio hardware, numero minimo di estensioni, profilo browser separato, autenticazione a due fattori (2FA)

Preparazione all'esame di medicina legale

  • Linee guida relative alle istantanee dei dischi e alla raccolta dei log di sistema e delle applicazioni
  • Conservazione delle prove in vista di un’eventuale indagine giudiziaria

Comprendere il concetto di "adverting"

Pubblicità Si tratta di una forma di ingegneria sociale in ambito aziendale in cui i criminali simulano normali flussi di lavoro (acquisti pubblicitari, partnership, relazioni pubbliche) per indurre gli utenti a installare "client" dannosi.

Segnali di allarme comuni:

  • "Installa il nostro gestore/strumento di supporto per gli annunci per sincronizzare i contenuti pubblicitari"
  • "Utilizza il nostro client personalizzato di Zoom/Telegram per la chiamata"
  • "Apri il nostro media kit/accordo di riservatezza tramite un visualizzatore sicuro"
Regola fondamentale: Se un flusso di lavoro proveniente da fonti sconosciute richiede un client/visualizzatore/programma di aggiornamento specifico, si deve presumere che si tratti di un'azione ostile. Utilizzare esclusivamente i download ufficiali forniti dal produttore.

La ricompensa e l'indipendenza

  • Il progetto ha offerto una ricompensa poiché il recupero ha superato la perdita iniziale.
  • PhishDestroy ha deciso di non accettare la ricompensa.
  • L'intero surplus è stato destinato a @_SEAL_Org.
  • Ciò garantisce l'indipendenza: nessun flusso di finanziamenti né obblighi.

Principi fondamentali

  • Solo indipendenza — senza vincoli di bilancio né condizioni.
  • Un approccio incentrato sui risultati piuttosto che sulla discussione.
  • Opposizione a qualsiasi "cliente speciale" o software non verificato.
  • Una divulgazione selettiva che aiuti le vittime, non gli autori delle minacce.
  • Pressione diretta sull'infrastruttura dell'autore dell'attacco.

Raccomandazioni pratiche

Per progetti e team

  • Non installare mai programmi di visualizzazione, client o strumenti di aggiornamento per l'ambiente di lavoro provenienti da terze parti non verificate.
  • Scarica Zoom/Telegram solo dai siti ufficiali dei fornitori.
  • Evita i link sponsorizzati relativi a wallet, bridge e airdrop.
  • È preferibile optare per portafogli hardware con archiviazione offline del seed.
  • In caso di compromissione: revocare le sessioni, trasferire i fondi, ruotare le chiavi, riemettere i segreti, chiedere immediatamente aiuto.

Per la Comunità

Conclusione

Nonostante i fondi siano già stati trasferiti, PhishDestroy accesso ripristinato e ha garantito che l'autore dell'attacco non potesse trattenere i beni sottratti. Rifiutando la ricompensa e destinando i fondi in eccesso ad altre finalità, l'organizzazione mantiene il proprio modello operativo autonomo e senza retribuzione, incentrato su una risposta rapida ed efficace agli incidenti.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Condividi questa indagine

X / Twitter Telegram Reddit LinkedIn

Indagini correlate

Anatomia del phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed
INDAGINE APPROFONDITA
Anatomia del phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed
$0 Takedowns: How We Disrupt Phishing Infrastructure
INDAGINE
$0 Takedowns: How We Disrupt Phishing Infrastructure
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe
INDAGINE
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →