$100K Returned — Malvertising Scam Foiled
ロシアの詐欺師たちが、マルウェア広告や情報窃取型マルウェアを用いて、ある暗号資産プロジェクトを装いました。当社はこの手口を検知し、ウォレットへのアクセス権を回復させ、10万ドル以上を返還しました。回収された余剰資金は@_SEAL_Orgに寄付されました。以下に、内訳、IOC、および教訓を記載します。

概要
ある仮想通貨プロジェクトが、正当な広告提携を装ったソーシャルエンジニアリング攻撃の被害に遭った。PhishDestroyはウォレットへのアクセス権を回復させ、資産を取り戻した。 10万ドル以上 不正に流用された資金について、独立性を維持するため、提示された報奨金を外部の組織に振り向けた。
知っておくべきこと
- そのウォレットはすでに不正アクセスを受けており、資金はすでに移動されていた。
- アクセスが復旧し、 $100K+ 加害者と一緒にいることを許されなかった。
- このプロジェクトでは報奨金が提示されたが、それは辞退され、代わりに @_SEAL_Org その代わりに。
- この業務は、有償の雇用ではなく、オペレーターによる自主的な取り組みとして行われています。
詐欺の手口
- 被害者は、ある仮想通貨ゲームに関する提携・広告の提案を受け取った。
- この攻撃は信憑性があるように見えた。プロフェッショナルなウェブサイト、X(Twitter)での確固たる存在感、そして一見正当に見えるビデオ通話などがあったからだ。
- 通話中、攻撃者は資料にアクセスするために「ワークプレイス・ビューアー」のインストールを要求した。
- その「視聴者」は 情報窃取型マルウェア.
- 攻撃者は資金を引き出し、チェーン間でトークンを交換し、資産を自身のウォレットに移した。
実施された対応措置
- 侵害が確認され、それ以上の動きは阻止された。
- 正当な所有者へのウォレットへのアクセス権を復元しました。
- 攻撃者の受信ウォレットの管理権限を確保し、被害者チームに引き渡した。
- 残存リスクを低減するための、調整されたフォローアップ措置。
結果: アクセスが復旧し、制御権を取り戻し、攻撃者を締め出しました。
インシデント発生後のセキュリティ強化
デバイスのセキュリティ
- 感染したデバイスを安全に扱うための手順ガイド
- ネットワークの隔離、セッションの失効、認証情報/鍵のローテーション、クリーンな再構築計画
運用体制
- ウォレット業務専用の、新しく清潔なワークステーション
- 新しいOS、ベンダー限定のダウンロード、ハードウェアウォレット、最小限の拡張機能、個別のブラウザプロファイル、2段階認証
法科学試験の準備
- ディスクスナップショットおよびシステム/アプリケーションログの収集に関するガイダンス
- 将来的な法的調査に備えた証拠の保全
「アドヴァーティング」の理解
広告 これはビジネスを装ったソーシャルエンジニアリングの手法であり、犯罪者が通常の業務プロセス(広告購入、提携、広報活動など)を装って、悪意のある「クライアント」のインストールを誘導するものです。
よくある警告サイン:
- 「クリエイティブを同期するには、当社の広告マネージャー/ヘルパーをインストールしてください」
- 「通話には、当社が独自に開発したZoom/Telegramクライアントをご利用ください」
- 「セキュアビューアでメディアキット/NDAを開く」
重要なルール: 不明な送信元からのワークフローで、特別なクライアント/ビューア/アップデータが必要とされる場合は、原則として悪意があると見なしてください。公式ベンダーからのダウンロードのみを使用してください。
「報酬と自立」
- このプロジェクトでは、回収額が当初の損失額を上回ったため、報奨金が支払われた。
- PhishDestroyは報奨金の受取を辞退した。
- 余剰金の全額は、以下の用途に充てられた。 @_SEAL_Org.
- これにより、独立性が保たれます――資金源も義務も一切ありません。
基本原則
- 独立性のみ――予算や条件は一切付きません。
- 議論よりも結果重視のアプローチ。
- 「特別なクライアント」や検証済みのソフトウェア以外の使用を禁止する。
- 脅威の攻撃者ではなく、被害者を支援する選択的情報開示。
- 攻撃者のインフラへの直接的な圧力。
実践的な提言
プロジェクト・チーム向け
- 信頼できない第三者から提供された職場用ビューア、クライアント、アップデータは絶対にインストールしないでください。
- ZoomやTelegramは、必ず公式の販売サイトからのみ入手してください。
- ウォレット、ブリッジ、エアドロップに関するスポンサーリンクは避けてください。
- シードをオフラインで保管できるハードウェアウォレットを選ぶようにしてください。
- セキュリティ侵害が発生した場合は、セッションを無効化し、資金を移動させ、鍵を更新し、秘密鍵を再発行し、直ちに支援を求めましょう。
コミュニティのために
- 不審な活動については、以下を通じて通報してください 当社のTelegramボット.
- 重要な行動指針やリソースについては、以下のサイトをご覧ください。 phishdestroy.io/critical-action.
結論
すでに資金が移動されているにもかかわらず、PhishDestroy アクセスが復旧した そして、攻撃者が盗んだ資産を保持できないようにしました。報奨金を辞退し、余剰資金を他の用途に充てることで、同組織は、迅速かつ効果的なインシデント対応に重点を置いた、無報酬かつ独立した運営モデルを維持しています。



