Pozadí

25. července 2024 vydala společnost MonoSwap (@monoswapio) na Twitteru varování, že její platforma byla napadena hackery. Vyzvali uživatele, aby pozastavili přidávání prostředků do svých fondů likvidity nebo sázky do svých fondů farmy, a vysvětlili, že útok byl způsoben vývojářem MonoSwap, který instaloval trojský software, když den před incidentem přijal pozvání na schůzku od falešného VC (https [ :]//kakaocall[.]kr), hackeři toho využívají k invazi do počítačů vývojářů MonoSwap, čímž kontrolují související peněženky a smlouvy, a poté stahují velké množství přislíbených prostředků, což způsobuje vážné ztráty.

(https://x.com/monoswapio/status/1816151998267547851)

Korelace událostí

Ve stejný den bezpečnostní tým SlowMist zjistil, že připnutý tweet události AMA @OurTinTinLand o výsadku obsahoval výše zmíněný phishingový odkaz.

S pomocí bezpečnostního týmu SlowMist TinTinLand promptně vyřešil problém krádeže účtu a provedl kontrolu autorizace a posílení zabezpečení Twitter účtu.

 (https://x.com/OurTinTinLand/status/1816358544402444462)

analýza událostí

Přestože název phishingové domény kakaocall[.]kr byl uzavřen a informace o malwaru nelze zobrazit, propojili jsme jej s jiným podobným názvem phishingové domény kakaocall[.]com prostřednictvím internetových snímků.

Porovnáním kódů kakaocall[.]com a kakaocall[.]kr prostřednictvím historických snímků webových stránek jsme zjistili, že jsou zcela konzistentní, takže lze mít za to, že se jedná o práci stejné skupiny.

Odkaz na adresu malwaru kakaocall[.]com ukazuje na https[:]//taxupay[.]com/process[.]php a https[:]//www.dropbox[.]com/scl/fi/ysnjinmlpcpdxel050mmb/ KakaoCall[.]exe?rlkey=drj8bfnd0zzvmcocexz93b6ky&st=28in0iw3&dl=1.

Následně bezpečnostní tým SlowMist objevil několik phishingových podvodů pomocí stejné metody prostřednictvím hloubkové sledovatelnosti. Dne 26. června 2024 zveřejnil uživatel Twitteru Metadon (@metadonprofits) příspěvek o procesu podvodníků. Podvodník @DeusExUnicusDms se vydával za zástupce společnosti @NibiruChain a poslal mu soukromou zprávu a přidal na důvěryhodnosti vytvořením skupinového chatu na Telegramu a přidáním falešného zakladatele společnosti Web3. Podvodník poté přiměje oběť, aby uskutečnila videohovor na KakaoTalk, oficiální korejské aplikaci pro zasílání zpráv. Vzhledem k tomu, že oběť aplikaci nemá, podvodník odešle odkaz, který tvrdí, že je oficiálním odkazem ke stažení aplikace, ale ve skutečnosti jde o phishingový odkaz.

 (https://x.com/metadonprofits/status/1805714156068520251)

Jak pokračujeme v hloubkové analýze, kontaktovalo nás mnoho obětí. Analýzou a studiem informací poskytnutých mnoha oběťmi jsme zjistili, že se jedná o hackerskou skupinu, která je organizovaná, funguje hromadně, má profesionální dovednosti a je zběhlá v sociálním inženýrství. Převlékli se za normální projektové party, vytvořili krásné oficiální webové stránky projektu, účty na sociálních sítích a projektové open source sklady, zvýšili počet followerů, napsali projektové bílé knihy a dokonce vstoupili na platformu doporučení projektu Web3 Vypadali velmi podobně jako normální Mnoho obětí si myslelo, že jde o skutečný projekt, a byly napadeny. Protože se jedná o mnoho případů, pojďme analyzovat dva z klasičtějších případů.

Případová studie 1

Hackeři chatují s oběťmi na sociálních platformách a vedou je k návštěvě škodlivého phishingového webu https[:]//wasper[.]aplikace ke stažení škodlivých aplikací.

Doba nasazení:

Adresa pro stažení škodlivého programu Windows:

https[:]//www.dropbox[.]com/scl/fi/3t95igxg3uvwthl2k9wcn/Wasper-Setup[.]exe?rlkey=xjt92pfebn1m0np52fbt5k3rl&st=a24xyedp&dl=1

Adresa pro stažení škodlivého programu macOS:

https[:]//www.dropbox[.]com/scl/fi/r8h40oyan354nqyx35mus/Wasper[.]dmg?rlkey=k88x68bxslsywnp98zb1cp260&st=hibpe07j&dl=1

Při analýze phishingového webu https[:]//wasper[.]aplikace jsme zjistili, že phishingový web je krásně zpracovaný a má odpovídající open source projekt GitHub.

Navštívili jsme tedy odkaz na open source projekt https[:]//github[.]com/wasperai/wasper a zjistili jsme, že aby byl falešný projekt důvěryhodnější, hacker také navrhl Watch, Fork a Hvězda projektu s otevřeným zdrojovým kódem.

V kompletní show dokonce útočník do falešného projektu přímo přidal přispěvatele z jiných projektů a do falešného projektu přidal i název domény phishingového webu.

Kvůli ozvěnám mezi phishingovým webem, falešným projektem a účty na Twitteru to vypadalo jako normální projekt. Je vidět, že útočníci jsou dobří v ovládání lidské povahy a navádění obětí do pastí. Jsou to profesionální hackeři a sociální inženýři.

Případová studie 2

Metoda útočníka v jiném phishingovém incidentu [.]aplikace je velmi podobná útočníkovi v incidentu phishingu wasper[.]app. Také nejprve komunikují s cílem na sociálních platformách a vedou cíl k registraci a registraci na phishing site dexis[.]aplikace Stáhnout škodlivé programy.

Open source úložiště tohoto incidentu (https[:]//github[.]com/DexisApp/Dexis) a incident wasper používají stejnou šablonu.Útočník umístil informace, jako je oficiální web projektu a bílá kniha, do Linktree, což bylo extrémně klamavé, když jsme to analyzovali, mysleli jsme si, že jde o normální projekt, který byl hacknut. Nepotvrdili jsme to, dokud jsme nenašli několik případů který byl tento způsob použit Jednalo se o pečlivě naplánovaný útok.

Po návštěvě aplikace dexis[.] jsme zjistili, že způsob, jak stáhnout škodlivé programy, je přejít na adresu trojského koně https[:]//1processmerch.com/process[.]php, protože přístup k tomuto rozhraní stahování byl zastaven. nemůžeme získat informace o trojském koni.

Adresa trojského koně je stejná jako adresa trojského koně, na kterou skočí phishingový web https[:]//kakaocall[.]com, a název přípony souboru je také stejný:

Podobné podvodné projekty

Zde jsou další účty a phishingové adresy URL propojené s tímto gangem:

  • Web3 herní malware podvod: @X Wion World

    URL: wionworld[.]com

  • Web3 herní malware podvod: @X SilentMetaWorld

    URL: playsilentdown[.]site, @link3to / free/jaunty-starks

  • Malwarový podvod se softwarem pro setkání: @X / VDeckMeet

    URL: vdeck[.]app

  • Web3 herní malware podvod: @X / _PartyRoyale

    Adresy URL: partyroyale[.]hry, @hubdotxyz/party-royale

  • Setkání s malwarovým podvodem: @X / VorionAI

    URL: vorion[.]io, vortax[.]app, vortax[.]space

  • Web3 herní malware podvod: @X/ arcanixland

    URL: arcanix[.]land, @Linktree_ / arcanixsocial

  • Malwarový podvod se softwarem pro setkání: @X / GoheardApp

    URL: goheard[.]app, goheard[.]io

  • Web3 herní malware podvod: @X / projectcalipso

    Adresy URL: projectcalipso[.]com, @Linktree_ / projectcalipso

  • Setkání s malwarovým podvodem: @X/ kendoteth (falešný KakaoTalk)

    Adresy URL: kakaocall[.]com

Děkujeme @d0wnlore za informace (https://twitter.com/d0wnlore/status/1796538103525757083).

Trojan analýza

Prostřednictvím online skenování VirusTotal bylo zjištěno, že trojský kůň byl detekován více antivirovými moduly.

(https://www.virustotal.com/gui/file/f3c14c12cd45dbfb9dfb85deac517cca25c3118f2c7e3501be669fc06bb4402f/behavior)

Analýza zjistila, že tento trojský kůň spustí řadu skriptových příkazů, aby získal přístup k systému, ukradl přihlašovací údaje uživatele a shromáždil cenné systémové informace a další škodlivé operace. Podle zprávy o analýze souboru trojského koně platformou pro analýzu malwaru Triage (https://tria.ge/240611-b9q8hszbqh/behavioral2) bylo zjištěno, že škodlivý název domény a IP adresa jeho externího připojení jsou následující:

  • showpiecekennelmating[.]com

  • 45.132.105.157

Shrnout

Je to vidět ze skutečnosti, že útočníci mohou vytvářet falešné scénáře, které jsou velmi podobné skutečným projektům. Nyní se útočné skupiny stávají stále profesionálnějšími a zkušenějšími v sociálním inženýrství. a v důsledku toho mnoho uživatelů Je obtížné zjistit pravost a budete podvedeni.

Výše uvedená analýza případů odhaluje pouze malou část „temného lesa“ v oblasti phishingu Mnoho hrozeb stále číhá antivirový software, jako je Kaspersky, AVG atd., může zlepšit zabezpečení zařízení Pokud jste bohužel infikováni, převeďte prosím co nejdříve prostředky z peněženky a proveďte komplexní antivirovou kontrolu svého osobního počítače. Pro více bezpečnostních znalostí se doporučuje přečíst si „Blockchain Dark Forest Self-Rescue Handbook“ vytvořený týmem SlowMist Security Team: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .