Hintergrund
Am 25. Juli 2024 gab MonoSwap (@monoswapio) auf Twitter eine Warnung heraus, dass seine Plattform gehackt wurde. Sie forderten die Benutzer auf, das Hinzufügen von Geldern zu ihren Liquiditätspools oder das Staketen in ihren Farm-Pools auszusetzen, und erklärten, dass der Angriff darauf zurückzuführen sei, dass ein MonoSwap-Entwickler am Tag vor dem Vorfall eine Besprechungseinladung von einem gefälschten VC angenommen habe, als er Trojaner-Software installierte (https [ :]//kakaocall[.]kr), nutzen Hacker dies, um in die Computer der MonoSwap-Entwickler einzudringen und so die zugehörigen Wallets und Verträge zu kontrollieren und dann eine große Menge an zugesagten Geldern abzuheben, was zu schweren Verlusten führt.
(https://x.com/monoswapio/status/1816151998267547851)
Ereigniskorrelation
Am selben Tag entdeckte das SlowMist-Sicherheitsteam, dass der angeheftete Tweet der AMA-Veranstaltung von @OurTinTinLand über den Airdrop den oben erwähnten Phishing-Link enthielt.
在慢雾安全团队的帮助下,TinTinLand 及时解决了账号被盗问题,并对推特账号进行了授权审查和安全加固。
(https://x.com/OurTinTinLand/status/1816358544402444462)
Ereignisanalyse
Obwohl der Phishing-Domainname kakaocall[.]kr geschlossen wurde und Malware-Informationen nicht angezeigt werden können, haben wir ihn über Internet-Snapshots mit einem anderen ähnlichen Phishing-Domainnamen kakaocall[.]com verknüpft.
Beim Vergleich der Codes von kakaocall[.]com und kakaocall[.]kr anhand historischer Webseiten-Schnappschüsse haben wir festgestellt, dass sie völlig konsistent sind, sodass davon ausgegangen werden kann, dass es sich hierbei um die Arbeit derselben Bande handelt.
Der Malware-Adresslink von kakaocall[.]com verweist auf https[:]//taxupay[.]com/process[.]php und https[:]//www.dropbox[.]com/scl/fi/ysnjinmlpcpdxel050mmb/ KakaoCall[.]exe?rlkey=drj8bfnd0zzvmcocexz93b6ky&st=28in0iw3&dl=1.
Anschließend entdeckte das SlowMist-Sicherheitsteam durch eine detaillierte Rückverfolgbarkeit mehrere Phishing-Betrügereien mit derselben Methode. Am 26. Juni 2024 postete der Twitter-Nutzer Metadon (@metadonprofits) über den Prozess der Betrüger. Der Betrüger @DeusExUnicusDms gab sich als Unternehmensvertreter von @NibiruChain aus und schickte ihm eine private Nachricht und erhöhte die Glaubwürdigkeit, indem er einen Gruppenchat auf Telegram erstellte und den falschen Gründer des Web3-Unternehmens hinzufügte. Anschließend verleitet der Betrüger das Opfer zu einem Videoanruf auf KakaoTalk, einer offiziellen koreanischen Messaging-App. Da das Opfer die App nicht besitzt, sendet der Betrüger einen Link, der vorgibt, ein offizieller Link zum Herunterladen der App zu sein, in Wirklichkeit aber ein Phishing-Link ist.
(https://x.com/metadonprofits/status/1805714156068520251)
Während wir unsere eingehende Analyse fortsetzen, haben uns viele Opfer kontaktiert. Durch die Analyse und Untersuchung der von vielen Opfern bereitgestellten Informationen haben wir herausgefunden, dass es sich um eine Hackergruppe handelt, die organisiert ist, in Gruppen operiert, über professionelle Fähigkeiten verfügt und sich mit Social Engineering auskennt. Sie tarnten sich als normale Projektparteien, erstellten wunderschöne offizielle Projektwebsites, Social-Media-Konten und Projekt-Open-Source-Warehouses, erhöhten die Anzahl ihrer Follower, schrieben Projekt-Whitepapers und betraten sogar die Web3-Projektempfehlungsplattform. Sie sahen den Normalen sehr ähnlich Viele Opfer dachten, es handele sich um ein echtes Projekt und wurden angegriffen. Da es sich um viele Fälle handelt, analysieren wir zwei der klassischeren Fälle.
Fallstudie 1
Hacker chatten mit Opfern auf sozialen Plattformen und verleiten sie dazu, die bösartige Phishing-Site https[:]//wasper[.]app zu besuchen, um schädliche Anwendungen herunterzuladen.
Bereitstellungszeit:
Download-Adresse des Windows-Schadprogramms:
https[:]//www.dropbox[.]com/scl/fi/3t95igxg3uvwthl2k9wcn/Wasper-Setup[.]exe?rlkey=xjt92pfebn1m0np52fbt5k3rl&st=a24xyedp&dl=1
Download-Adresse des macOS-Schadprogramms:
https[:]//www.dropbox[.]com/scl/fi/r8h40oyan354nqyx35mus/Wasper[.]dmg?rlkey=k88x68bxslsywnp98zb1cp260&st=hibpe07j&dl=1
Bei der Analyse der Phishing-Site https[:]//wasper[.]app haben wir festgestellt, dass die Phishing-Site wunderschön gestaltet ist und über ein entsprechendes GitHub-Open-Source-Projekt verfügt.
Also haben wir den Link des Open-Source-Projekts https[:]//github[.]com/wasperai/wasper besucht und festgestellt, dass der Hacker auch Watch, Fork und entworfen hat, um das gefälschte Projekt glaubwürdiger zu machen Star des Open-Source-Projekts.
In einer vollständigen Show fügte der Angreifer dem gefälschten Projekt sogar direkt Mitwirkende aus anderen Projekten hinzu und fügte dem gefälschten Projekt auch den Domainnamen der Phishing-Website hinzu.
Aufgrund der Echos zwischen der Phishing-Website, dem gefälschten Projekt und den Twitter-Konten sah es wie ein normales Projekt aus. Es zeigt sich, dass Angreifer gut darin sind, die menschliche Natur zu kontrollieren und Opfer in Fallen zu locken. Sie sind professionelle Hacker und Social Engineers.
Fallstudie 2
Die Vorgehensweise des Angreifers bei einem anderen Dexis[.]App-Phishing-Vorfall ist der des Angreifers beim Wasper[.]App-Phishing-Vorfall sehr ähnlich. Außerdem kommuniziert er zunächst mit dem Ziel auf sozialen Plattformen und leitet das Ziel an, sich zu registrieren und zu registrieren Phishing-Site Dexis[.]App Laden Sie Schadprogramme herunter.
Das Open-Source-Repository dieses Vorfalls (https[:]//github[.]com/DexisApp/Dexis) und der Wasper-Vorfall verwenden dieselbe Vorlage.
攻击者将项目官网和白皮书等信息放在 Linktree 中,极具欺骗性,我们在分析的时候一度以为是正常的项目方被黑了,直到发现多起案例据均是采用了该手法,才确认这是经过缜密策划的攻击。
Nach dem Besuch der dexis[.]app stellten wir fest, dass der Weg zum Herunterladen schädlicher Programme darin besteht, zur Trojaner-Adresse https[:]//1processmerch.com/process[.]php zu springen. Da der Zugriff auf diese Download-Schnittstelle gestoppt wurde, Wir können die Trojaner-Beispielinformationen nicht erhalten.
Die Trojaner-Adresse ist hier dieselbe wie die Trojaner-Adresse, zu der die Phishing-Website https[:]//kakaocall[.]com springt, und auch der Dateisuffixname ist derselbe:
Ähnliche Betrugsprojekte
Hier sind weitere Konten und Phishing-URLs, die mit dieser Bande verknüpft sind:
Web3-Spiel-Malware-Betrug: @X Wion World
URLs: wionworld[.]com
Web3-Spiel-Malware-Betrug: @X SilentMetaWorld
URLs: Playsilentdown[.]site, @link3to / kostenlos/jaunty-starks
Betrug mit Meeting-Software-Malware: @X / VDeckMeet
URLs: vdeck[.]app
Web3-Spiele-Malware-Betrug: @X / _PartyRoyale
URLs: partyroyale[.]games, @hubdotxyz/party-royale
Betrug mit Meeting-Software-Malware: @X / VorionAI
URLs: vorion[.]io, vortax[.]app, vortax[.]space
Web3-Spiel-Malware-Betrug: @X/arcanixland
URLs: arcanix[.]land, @Linktree_ / arcanixsocial
Betrug mit Meeting-Software-Malware: @X / GoheardApp
URLs: goheard[.]app, goheard[.]io
Web3-Spiel-Malware-Betrug: @X / projectcalipso
URLs: projectcalipso[.]com, @Linktree_ / projectcalipso
Betrug mit Meeting-Software-Malware: @X/kendoteth (gefälschter KakaoTalk)
URLs: kakaocall[.]com
…
Vielen Dank an @d0wnlore für die Informationen (https://twitter.com/d0wnlore/status/1796538103525757083).
Trojaner-Analyse
Beim Online-Scan von VirusTotal wurde festgestellt, dass der Trojaner von mehreren Antiviren-Engines erkannt wurde.
(https://www.virustotal.com/gui/file/f3c14c12cd45dbfb9dfb85deac517cca25c3118f2c7e3501be669fc06bb4402f/behavior)
Die Analyse ergab, dass dieser Trojaner eine Reihe von Skriptbefehlen ausführt, um Systemzugriff zu erhalten, Benutzeranmeldeinformationen zu stehlen und wertvolle Systeminformationen sowie andere böswillige Vorgänge zu sammeln. Laut dem Analysebericht der Trojaner-Datei durch die Malware-Analyseplattform Triage (https://tria.ge/240611-b9q8hszbqh/behavioral2) wurde festgestellt, dass der bösartige Domänenname und die IP-Adresse seiner externen Verbindung wie folgt lauten:
showpiecekennelmating[.]com
45.132.105.157
Zusammenfassen
Dies lässt sich daran erkennen, dass Angreifer gefälschte Szenarien erstellen können, die realen Projekten sehr ähnlich sind. Jetzt werden Angriffsgruppen immer professioneller und beherrschen das Social Engineering. Ihre gut organisierten und Batch-Operationen machen das Ausmaß des Betrugs sehr groß. Infolgedessen ist es für viele Benutzer schwierig, die Echtheit zu erkennen, und Sie werden getäuscht.
Die obige Fallanalyse zeigt nur einen kleinen Teil des „dunklen Waldes“ im Phishing-Bereich. Das SlowMist-Sicherheitsteam empfiehlt Benutzern, wachsamer zu sein und einen Verdacht zu hegen, bevor sie auf bekannte Websites klicken Antivirensoftware wie Kaspersky, AVG usw. kann die Gerätesicherheit verbessern. Wenn Sie leider infiziert sind, überweisen Sie bitte so schnell wie möglich Ihr Wallet-Geld und führen Sie eine umfassende Antivirenprüfung auf Ihrem PC durch. Für weitere Sicherheitskenntnisse wird empfohlen, das vom SlowMist Security Team erstellte „Blockchain Dark Forest Self-Rescue Handbook“ zu lesen: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .