$100K Returned — Malvertising Scam Foiled
Російські шахраї видавали себе за криптопроект, використовуючи шкідливу рекламу та шкідливе ПЗ для викрадення даних. Ми виявили цю операцію, відновили доступ до гаманців і повернули понад 100 тис. доларів. Додаткові відновлені кошти були передані організації @_SEAL_Org. Нижче наведено детальний аналіз, IOC та висновки.

Огляд
Криптовалютний проєкт став жертвою атаки з використанням методів соціальної інженерії, замаскованої під законне рекламне партнерство. Компанія PhishDestroy відновила доступ до гаманця та повернула кошти понад 100 000 доларів у кошти, що опинилися під загрозою, а потім перенаправили запропоновану винагороду зовнішній організації, щоб зберегти незалежність.
Що потрібно знати
- Гаманець уже був зламаний; кошти вже були переведені.
- Доступ було відновлено, і $100K+ йому не дозволили залишитися з нападником.
- У рамках проєкту було запропоновано винагороду, від якої відмовилися, і її перенаправили до @_SEAL_Org натомість.
- Ця робота виконується самостійно в рамках власної ініціативи, а не в рамках оплачуваної роботи.
Як діяла ця афера
- Потерпілий отримав пропозицію щодо партнерства/реклами криптоігри.
- Атака виглядала переконливо: професійний веб-сайт, активний профіль у X (Twitter), відеодзвінки, що здавалися справжніми.
- Під час телефонних дзвінків зловмисники вимагали встановити програму «Workplace Viewer» для доступу до матеріалів.
- «Переглядач» був шкідливе програмне забезпечення для крадіжки даних.
- Зловмисники зняли кошти, обміняли токени між ланцюгами та перевели активи на свій гаманець.
Вжиті заходи у відповідь
- Підтверджено прорив і зупинено подальше просування.
- Відновлено доступ до гаманця для його законного власника.
- Забезпечено та передано контроль над гаманцем-одержувачем зловмисника команді потерпілого.
- Скоординовані подальші заходи щодо зменшення залишкового ризику.
Зміцнення безпеки після інциденту
Безпека пристроїв
- Покрокова інструкція щодо безпечного поводження з інфікованими пристроями
- Ізоляція мережі, скасування сеансів, ротація облікових даних/ключів, план чистої перебудови
Налаштування роботи
- Нове, чисте робоче місце, призначене для роботи з гаманцями
- Нова версія ОС, завантаження виключно від виробника, апаратний гаманець, мінімальна кількість розширень, окремий профіль браузера, двофакторна аутентифікація (2FA)
Підготовка до судово-медичної експертизи
- Рекомендації щодо створення знімків дисків та збору системних і програмних журналів
- Збереження доказів для можливого судового розслідування
Розуміння поняття «рекламування»
Реклама це соціальна інженерія в діловому стилі, коли злочинці імітують звичайні робочі процеси (купівля реклами, партнерські відносини, PR), щоб обманом змусити користувачів встановити шкідливі «клієнти».
Типові ознаки небезпеки:
- «Встановіть наш менеджер/помічник для реклами, щоб синхронізувати рекламні матеріали»
- «Для дзвінка скористайтеся нашим спеціальним клієнтом Zoom/Telegram»
- «Відкрити наш медіа-кіт/угоду про нерозголошення інформації за допомогою захищеного переглядача»
Нагорода та незалежність
- У рамках проекту була призначена винагорода, оскільки сума відшкодування перевищила початковий збиток.
- PhishDestroy відмовився від винагороди.
- Весь надлишок було спрямовано на @_SEAL_Org.
- Це забезпечує незалежність — жодних джерел фінансування чи зобов’язань.
Основні принципи
- Лише незалежність — без бюджетів та будь-яких зобов’язань.
- Підхід, орієнтований на результати, а не на обговорення.
- Неприйняття будь-яких «особливих клієнтів» або неперевіреного програмного забезпечення.
- Вибіркове розкриття інформації, яке допомагає жертвам, а не зловмисникам.
- Прямий тиск на інфраструктуру зловмисників.
Практичні рекомендації
Для проєктів та команд
- Ніколи не встановлюйте програми для перегляду, клієнти чи програми оновлення з робочого місця від неперевірених сторонніх розробників.
- Завантажуйте Zoom та Telegram виключно з офіційних сайтів розробників.
- Уникайте спонсорованих посилань на гаманці, мости та айрдропи.
- Віддавайте перевагу апаратним гаманцям з офлайн-зберіганням початкового ключа.
- У разі виявлення вторгнення: скасуйте сесії, переведіть кошти, змініть ключі, перегенеруйте секретні дані та негайно зверніться за допомогою.
Для спільноти
- Повідомте про підозрілу діяльність через наш бот у Telegram.
- Ознайомтеся з рекомендаціями щодо вжиття невідкладних заходів та відповідними матеріалами за адресою phishdestroy.io/critical-action.
Висновок
Незважаючи на те, що кошти вже перераховано, PhishDestroy відновлено доступ та забезпечила, щоб зловмисник не зміг утримати вкрадені активи. Відмовившись від винагороди та спрямувавши надлишкові кошти на інші цілі, організація зберігає свою безоплатну, незалежну модель діяльності, орієнтовану на швидке та ефективне реагування на інциденти.



