メインコンテンツへスキップ
10万件の返送 - マルウェア広告の分析
調査 • 読了時間:5~7分

$100K Returned — Malvertising Scam Foiled

ロシアの詐欺師たちが、マルウェア広告や情報窃取型マルウェアを用いて、ある暗号資産プロジェクトを装いました。当社はこの手口を検知し、ウォレットへのアクセス権を回復させ、10万ドル以上を返還しました。回収された余剰資金は@_SEAL_Orgに寄付されました。以下に、内訳、IOC、および教訓を記載します。

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic

概要

ある仮想通貨プロジェクトが、正当な広告提携を装ったソーシャルエンジニアリング攻撃の被害に遭った。PhishDestroyはウォレットへのアクセス権を回復させ、資産を取り戻した。 10万ドル以上 不正に流用された資金について、独立性を維持するため、提示された報奨金を外部の組織に振り向けた。

知っておくべきこと

  • そのウォレットはすでに不正アクセスを受けており、資金はすでに移動されていた。
  • アクセスが復旧し、 $100K+ 加害者と一緒にいることを許されなかった。
  • このプロジェクトでは報奨金が提示されたが、それは辞退され、代わりに @_SEAL_Org その代わりに。
  • この業務は、有償の雇用ではなく、オペレーターによる自主的な取り組みとして行われています。

詐欺の手口

  • 被害者は、ある仮想通貨ゲームに関する提携・広告の提案を受け取った。
  • この攻撃は信憑性があるように見えた。プロフェッショナルなウェブサイト、X(Twitter)での確固たる存在感、そして一見正当に見えるビデオ通話などがあったからだ。
  • 通話中、攻撃者は資料にアクセスするために「ワークプレイス・ビューアー」のインストールを要求した。
  • その「視聴者」は 情報窃取型マルウェア.
  • 攻撃者は資金を引き出し、チェーン間でトークンを交換し、資産を自身のウォレットに移した。

実施された対応措置

  1. 侵害が確認され、それ以上の動きは阻止された。
  2. 正当な所有者へのウォレットへのアクセス権を復元しました。
  3. 攻撃者の受信ウォレットの管理権限を確保し、被害者チームに引き渡した。
  4. 残存リスクを低減するための、調整されたフォローアップ措置。
結果: アクセスが復旧し、制御権を取り戻し、攻撃者を締め出しました。

インシデント発生後のセキュリティ強化

デバイスのセキュリティ

  • 感染したデバイスを安全に扱うための手順ガイド
  • ネットワークの隔離、セッションの失効、認証情報/鍵のローテーション、クリーンな再構築計画

運用体制

  • ウォレット業務専用の、新しく清潔なワークステーション
  • 新しいOS、ベンダー限定のダウンロード、ハードウェアウォレット、最小限の拡張機能、個別のブラウザプロファイル、2段階認証

法科学試験の準備

  • ディスクスナップショットおよびシステム/アプリケーションログの収集に関するガイダンス
  • 将来的な法的調査に備えた証拠の保全

「アドヴァーティング」の理解

広告 これはビジネスを装ったソーシャルエンジニアリングの手法であり、犯罪者が通常の業務プロセス(広告購入、提携、広報活動など)を装って、悪意のある「クライアント」のインストールを誘導するものです。

よくある警告サイン:

  • 「クリエイティブを同期するには、当社の広告マネージャー/ヘルパーをインストールしてください」
  • 「通話には、当社が独自に開発したZoom/Telegramクライアントをご利用ください」
  • 「セキュアビューアでメディアキット/NDAを開く」
重要なルール: 不明な送信元からのワークフローで、特別なクライアント/ビューア/アップデータが必要とされる場合は、原則として悪意があると見なしてください。公式ベンダーからのダウンロードのみを使用してください。

「報酬と自立」

  • このプロジェクトでは、回収額が当初の損失額を上回ったため、報奨金が支払われた。
  • PhishDestroyは報奨金の受取を辞退した。
  • 余剰金の全額は、以下の用途に充てられた。 @_SEAL_Org.
  • これにより、独立性が保たれます――資金源も義務も一切ありません。

基本原則

  • 独立性のみ――予算や条件は一切付きません。
  • 議論よりも結果重視のアプローチ。
  • 「特別なクライアント」や検証済みのソフトウェア以外の使用を禁止する。
  • 脅威の攻撃者ではなく、被害者を支援する選択的情報開示。
  • 攻撃者のインフラへの直接的な圧力。

実践的な提言

プロジェクト・チーム向け

  • 信頼できない第三者から提供された職場用ビューア、クライアント、アップデータは絶対にインストールしないでください。
  • ZoomやTelegramは、必ず公式の販売サイトからのみ入手してください。
  • ウォレット、ブリッジ、エアドロップに関するスポンサーリンクは避けてください。
  • シードをオフラインで保管できるハードウェアウォレットを選ぶようにしてください。
  • セキュリティ侵害が発生した場合は、セッションを無効化し、資金を移動させ、鍵を更新し、秘密鍵を再発行し、直ちに支援を求めましょう。

コミュニティのために

結論

すでに資金が移動されているにもかかわらず、PhishDestroy アクセスが復旧した そして、攻撃者が盗んだ資産を保持できないようにしました。報奨金を辞退し、余剰資金を他の用途に充てることで、同組織は、迅速かつ効果的なインシデント対応に重点を置いた、無報酬かつ独立した運営モデルを維持しています。

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

この調査を共有する

X / Twitter Telegram Reddit LinkedIn

関連する調査

暗号資産フィッシングの解剖:8つの実在するシードフレーズ窃取ツールのリバースエンジニアリング
徹底調査
暗号資産フィッシングの解剖:8つの実在するシードフレーズ窃取ツールのリバースエンジニアリング
$0 Takedowns: How We Disrupt Phishing Infrastructure
調査
$0 Takedowns: How We Disrupt Phishing Infrastructure
詐欺師の正体:4つの詐欺バックエンドを徹底分析
調査
詐欺師の正体:4つの詐欺バックエンドを徹底分析
透明性に関するお知らせ。 PhishDestroyは、非営利の独立プロジェクトです。私たちの調査には、詐欺インフラやそれを可能にするサービスに対する固有の偏見が反映されている可能性があります。読者の皆様には、すべての情報を批判的かつ独自に評価していただくようお願いいたします。 当社の透明性に関する声明全文はこちら →