sfondo

Il 25 luglio 2024, MonoSwap (@monoswapio) ha avvertito su Twitter che la sua piattaforma era stata violata. Hanno invitato gli utenti a sospendere l'aggiunta di fondi ai loro pool di liquidità o lo staking nei loro pool di farm e hanno spiegato che l'attacco era dovuto all'installazione di un software Trojan da parte di uno sviluppatore MonoSwap quando ha accettato un invito a una riunione da un falso VC il giorno prima dell'incidente (https [ :]//kakaocall[.]kr), gli hacker lo utilizzano per invadere i computer degli sviluppatori di MonoSwap, controllando così i relativi portafogli e contratti, e quindi ritirare una grande quantità di fondi promessi, causando gravi perdite.

(https://x.com/monoswapio/status/1816151998267547851)

Correlazione degli eventi

Lo stesso giorno, il team di sicurezza di SlowMist ha scoperto che il tweet bloccato dell'evento AMA di @OurTinTinLand sull'airdrop conteneva il collegamento di phishing sopra menzionato.

Con l'aiuto del team di sicurezza di SlowMist, TinTinLand ha risolto prontamente il problema del furto dell'account e ha condotto una revisione dell'autorizzazione e un rafforzamento della sicurezza dell'account Twitter.

 (https://x.com/OurTinTinLand/status/1816358544402444462)

analisi degli eventi

Anche se il nome di dominio di phishing kakaocall[.]kr è stato chiuso e le informazioni sul malware non possono essere visualizzate, lo abbiamo collegato a un altro nome di dominio di phishing simile kakaocall[.]com tramite istantanee Internet.

Confrontando i codici di kakaocall[.]com e kakaocall[.]kr attraverso istantanee di pagine web storiche, abbiamo scoperto che sono completamente coerenti, quindi si può considerare che questo sia il lavoro dello stesso gruppo.

Il collegamento all'indirizzo del malware di kakaocall[.]com punta a https[:]//taxupay[.]com/process[.]php e https[:]//www.dropbox[.]com/scl/fi/ysnjinmlpcpdxel050mmb/ KakaoCall[.]exe?rlkey=drj8bfnd0zzvmcocexz93b6ky&st=28in0iw3&dl=1.

Successivamente, il team di sicurezza di SlowMist ha scoperto diverse truffe di phishing utilizzando lo stesso metodo attraverso una tracciabilità approfondita. Il 26 giugno 2024, l'utente Twitter Metadon (@metadonprofits) ha pubblicato un post sul processo dei truffatori. Il truffatore @DeusExUnicusDms si è presentato come rappresentante dell'azienda @NibiruChain e gli ha inviato un messaggio privato e ha aggiunto credibilità creando una chat di gruppo su Telegram e aggiungendo il falso fondatore dell'azienda Web3. Il truffatore induce quindi la vittima a effettuare una videochiamata su KakaoTalk, un'app di messaggistica ufficiale coreana. Poiché la vittima non possiede l'app, il truffatore invia un collegamento che sembra essere un collegamento ufficiale per scaricare l'app, ma in realtà è un collegamento di phishing.

 (https://x.com/metadonprofits/status/1805714156068520251)

Mentre proseguiamo la nostra analisi approfondita, molte vittime ci hanno contattato. Analizzando e studiando le informazioni fornite da molte vittime, abbiamo scoperto che si tratta di un gruppo di hacker organizzato, che opera in batch, ha competenze professionali ed è esperto in ingegneria sociale. Si sono travestiti da normali gruppi di progetto, hanno creato bellissimi siti web ufficiali del progetto, account di social media e magazzini open source del progetto, hanno aumentato il numero di follower, hanno scritto white paper del progetto e sono persino entrati nella piattaforma di raccomandazione del progetto Web3. Sembravano molto simili al normale progetti, causando Molte vittime pensavano che fosse un vero progetto e furono attaccate. Poiché i casi coinvolti sono molti, analizziamo due dei casi più classici.

Caso di studio 1

Gli hacker chattano con le vittime sulle piattaforme social e le guidano a visitare il sito di phishing dannoso https[:]//wasper[.]app per scaricare applicazioni dannose.

Tempo di distribuzione:

Indirizzo di download del programma dannoso per Windows:

https[:]//www.dropbox[.]com/scl/fi/3t95igxg3uvwthl2k9wcn/Wasper-Setup[.]exe?rlkey=xjt92pfebn1m0np52fbt5k3rl&st=a24xyedp&dl=1

Indirizzo di download del programma dannoso per macOS:

https[:]//www.dropbox[.]com/scl/fi/r8h40oyan354nqyx35mus/Wasper[.]dmg?rlkey=k88x68bxslsywnp98zb1cp260&st=hibpe07j&dl=1

Analizzando il sito di phishing https[:]//wasper[.]app, abbiamo scoperto che il sito di phishing è realizzato magnificamente e dispone di un corrispondente progetto open source GitHub.

Quindi, abbiamo visitato il collegamento del progetto open source https[:]//github[.]com/wasperai/wasper e abbiamo scoperto che per rendere più credibile il progetto falso, l'hacker ha anche progettato Watch, Fork e Protagonista del progetto open source.

In uno spettacolo completo, l'aggressore ha addirittura aggiunto direttamente al progetto falso collaboratori di altri progetti e al progetto falso ha anche aggiunto il nome di dominio della pagina di phishing.

A causa degli echi tra il sito di phishing, il progetto falso e gli account Twitter, sembrava un progetto normale. Si può vedere che gli aggressori sono bravi a controllare la natura umana e a condurre le vittime in trappole. Sono hacker professionisti e ingegneri sociali.

Caso di studio 2

Il metodo dell'aggressore in un altro incidente di phishing dexis[.]app è molto simile a quello dell'aggressore nell'incidente di phishing wasper[.]app. Inoltre comunicano prima con la vittima su piattaforme social e guidano la vittima a registrarsi e registrarsi su sito di phishing dexis[.]app. Scarica programmi dannosi.

Il repository open source di questo incidente (https[:]//github[.]com/DexisApp/Dexis) e l'incidente Wasper utilizzano lo stesso modello.L'aggressore ha inserito informazioni come il sito web ufficiale del progetto e il white paper in Linktree, il che era estremamente ingannevole. Quando l'abbiamo analizzato, abbiamo pensato che fosse stato violato un normale componente del progetto. Non lo abbiamo confermato finché non abbiamo trovato più casi cui è stato utilizzato questo metodo. Si è trattato di un attacco attentamente pianificato.

Dopo aver visitato dexis[.]app, abbiamo scoperto che il modo per scaricare programmi dannosi è passare all'indirizzo del trojan https[:]//1processmerch.com/process[.]php Poiché l'accesso a questa interfaccia di download è stato interrotto, non è possibile ottenere informazioni sul campione del Trojan.

L'indirizzo del Trojan qui è lo stesso dell'indirizzo del Trojan a cui passa il sito Web di phishing https[:]//kakaocall[.]com e anche il nome del suffisso del file è lo stesso:

Progetti fraudolenti simili

Ecco altri account e URL di phishing collegati a questa banda:

  • Truffa malware per giochi Web3: @X Wion World

    URL: wionworld[.]com

  • Truffa malware per giochi Web3: @X SilentMetaWorld

    URL: playsilentdown[.]site, @link3to / free/jaunty-starks

  • Truffa malware del software per riunioni: @X / VDeckMeet

    URL: vdeck[.]app

  • Truffa malware per giochi Web3: @X / _PartyRoyale

    URL: partyroyale[.]games, @hubdotxyz/party-royale

  • Truffa malware software per riunioni: @X / VorionAI

    URL: vorion[.]io, vortax[.]app, vortax[.]space

  • Truffa malware per giochi Web3: @X/arcanixland

    URL: arcanix[.]land, @Linktree_ / arcanixsocial

  • Truffa malware software per riunioni: @X / GoheardApp

    URL: goheard[.]app, goheard[.]io

  • Truffa malware per giochi Web3: @X / projectcalipso

    URL: projectcalipso[.]com, @Linktree_ / projectcalipso

  • Truffa malware software per riunioni: @X/ kendoteth (falso KakaoTalk)

    URL: kakaocall[.]com

Grazie a @d0wnlore per l'informazione (https://twitter.com/d0wnlore/status/1796538103525757083).

Analisi trojan

Attraverso la scansione online di VirusTotal, è stato riscontrato che il Trojan è stato rilevato da più motori antivirus.​

(https://www.virustotal.com/gui/file/f3c14c12cd45dbfb9dfb85deac517cca25c3118f2c7e3501be669fc06bb4402f/behavior)

L'analisi ha rilevato che questo Trojan eseguirà una serie di comandi script per ottenere l'accesso al sistema, rubare le credenziali dell'utente e raccogliere preziose informazioni di sistema e altre operazioni dannose. Secondo il rapporto di analisi del file Trojan della piattaforma di analisi malware Triage (https://tria.ge/240611-b9q8hszbqh/behavioral2), è emerso che il nome di dominio dannoso e l'indirizzo IP della sua connessione esterna sono i seguenti:

  • showpiecekennelmating[.]com

  • 45.132.105.157

Riassumere

Lo si vede dal fatto che gli aggressori possono creare scenari falsi che sono molto simili a progetti reali. Ora i gruppi di attacco stanno diventando sempre più professionali ed esperti nell'ingegneria sociale. Le loro operazioni altamente organizzate e batch rendono la portata delle frodi molto ampia. e di conseguenza, per molti utenti è difficile stabilire l'autenticità e verrai ingannato.

L'analisi del caso sopra riportato rivela solo una piccola parte della "foresta oscura" nel campo del phishing. Molte minacce sono ancora in agguato. Il team di sicurezza di SlowMist raccomanda agli utenti di essere più vigili e di riservare un sospetto prima di fare clic sui collegamenti a siti Web noti I software antivirus, come Kaspersky, AVG, ecc., possono migliorare la sicurezza del dispositivo. Se sfortunatamente sei stato infettato, trasferisci i fondi del tuo portafoglio il prima possibile ed esegui un controllo antivirus completo sul tuo personal computer. Per maggiori conoscenze sulla sicurezza, si consiglia di leggere il "Blockchain Dark Forest Self-Rescue Handbook" prodotto dal SlowMist Security Team: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .