Перейти до основного вмісту
100 тис. повернень — аналіз шкідливої реклами
Розслідування • Час читання: 5–7 хв.

$100K Returned — Malvertising Scam Foiled

Російські шахраї видавали себе за криптопроект, використовуючи шкідливу рекламу та шкідливе ПЗ для викрадення даних. Ми виявили цю операцію, відновили доступ до гаманців і повернули понад 100 тис. доларів. Додаткові відновлені кошти були передані організації @_SEAL_Org. Нижче наведено детальний аналіз, IOC та висновки.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Вперше опубліковано на Medium — PhishDestroy

Огляд

Криптовалютний проєкт став жертвою атаки з використанням методів соціальної інженерії, замаскованої під законне рекламне партнерство. Компанія PhishDestroy відновила доступ до гаманця та повернула кошти понад 100 000 доларів у кошти, що опинилися під загрозою, а потім перенаправили запропоновану винагороду зовнішній організації, щоб зберегти незалежність.

Що потрібно знати

  • Гаманець уже був зламаний; кошти вже були переведені.
  • Доступ було відновлено, і $100K+ йому не дозволили залишитися з нападником.
  • У рамках проєкту було запропоновано винагороду, від якої відмовилися, і її перенаправили до @_SEAL_Org натомість.
  • Ця робота виконується самостійно в рамках власної ініціативи, а не в рамках оплачуваної роботи.

Як діяла ця афера

  • Потерпілий отримав пропозицію щодо партнерства/реклами криптоігри.
  • Атака виглядала переконливо: професійний веб-сайт, активний профіль у X (Twitter), відеодзвінки, що здавалися справжніми.
  • Під час телефонних дзвінків зловмисники вимагали встановити програму «Workplace Viewer» для доступу до матеріалів.
  • «Переглядач» був шкідливе програмне забезпечення для крадіжки даних.
  • Зловмисники зняли кошти, обміняли токени між ланцюгами та перевели активи на свій гаманець.

Вжиті заходи у відповідь

  1. Підтверджено прорив і зупинено подальше просування.
  2. Відновлено доступ до гаманця для його законного власника.
  3. Забезпечено та передано контроль над гаманцем-одержувачем зловмисника команді потерпілого.
  4. Скоординовані подальші заходи щодо зменшення залишкового ризику.
Результат: Доступ відновлено, контроль повернено, зловмисник заблоковано.

Зміцнення безпеки після інциденту

Безпека пристроїв

  • Покрокова інструкція щодо безпечного поводження з інфікованими пристроями
  • Ізоляція мережі, скасування сеансів, ротація облікових даних/ключів, план чистої перебудови

Налаштування роботи

  • Нове, чисте робоче місце, призначене для роботи з гаманцями
  • Нова версія ОС, завантаження виключно від виробника, апаратний гаманець, мінімальна кількість розширень, окремий профіль браузера, двофакторна аутентифікація (2FA)

Підготовка до судово-медичної експертизи

  • Рекомендації щодо створення знімків дисків та збору системних і програмних журналів
  • Збереження доказів для можливого судового розслідування

Розуміння поняття «рекламування»

Реклама це соціальна інженерія в діловому стилі, коли злочинці імітують звичайні робочі процеси (купівля реклами, партнерські відносини, PR), щоб обманом змусити користувачів встановити шкідливі «клієнти».

Типові ознаки небезпеки:

  • «Встановіть наш менеджер/помічник для реклами, щоб синхронізувати рекламні матеріали»
  • «Для дзвінка скористайтеся нашим спеціальним клієнтом Zoom/Telegram»
  • «Відкрити наш медіа-кіт/угоду про нерозголошення інформації за допомогою захищеного переглядача»
Основне правило: Якщо для виконання робочого процесу від невідомих сторін потрібен спеціальний клієнт, переглядач або програма оновлення, за замовчуванням слід припускати, що це шкідливе програмне забезпечення. Використовуйте лише офіційні завантаження від постачальників.

Нагорода та незалежність

  • У рамках проекту була призначена винагорода, оскільки сума відшкодування перевищила початковий збиток.
  • PhishDestroy відмовився від винагороди.
  • Весь надлишок було спрямовано на @_SEAL_Org.
  • Це забезпечує незалежність — жодних джерел фінансування чи зобов’язань.

Основні принципи

  • Лише незалежність — без бюджетів та будь-яких зобов’язань.
  • Підхід, орієнтований на результати, а не на обговорення.
  • Неприйняття будь-яких «особливих клієнтів» або неперевіреного програмного забезпечення.
  • Вибіркове розкриття інформації, яке допомагає жертвам, а не зловмисникам.
  • Прямий тиск на інфраструктуру зловмисників.

Практичні рекомендації

Для проєктів та команд

  • Ніколи не встановлюйте програми для перегляду, клієнти чи програми оновлення з робочого місця від неперевірених сторонніх розробників.
  • Завантажуйте Zoom та Telegram виключно з офіційних сайтів розробників.
  • Уникайте спонсорованих посилань на гаманці, мости та айрдропи.
  • Віддавайте перевагу апаратним гаманцям з офлайн-зберіганням початкового ключа.
  • У разі виявлення вторгнення: скасуйте сесії, переведіть кошти, змініть ключі, перегенеруйте секретні дані та негайно зверніться за допомогою.

Для спільноти

  • Повідомте про підозрілу діяльність через наш бот у Telegram.
  • Ознайомтеся з рекомендаціями щодо вжиття невідкладних заходів та відповідними матеріалами за адресою phishdestroy.io/critical-action.

Висновок

Незважаючи на те, що кошти вже перераховано, PhishDestroy відновлено доступ та забезпечила, щоб зловмисник не зміг утримати вкрадені активи. Відмовившись від винагороди та спрямувавши надлишкові кошти на інші цілі, організація зберігає свою безоплатну, незалежну модель діяльності, орієнтовану на швидке та ефективне реагування на інциденти.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Поділитися цим розслідуванням

X / Twitter Telegram Reddit LinkedIn

Пов’язані розслідування

Анатомія криптофішингу: реверс-інжиніринг 8 реальних програм для викрадення сид-фраз
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Анатомія криптофішингу: реверс-інжиніринг 8 реальних програм для викрадення сид-фраз
$0 Takedowns: How We Disrupt Phishing Infrastructure
РОЗСЛІДУВАННЯ
$0 Takedowns: How We Disrupt Phishing Infrastructure
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів
РОЗСЛІДУВАННЯ
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та незалежно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →