Punti Chiave
Secondo un post del team anti-frode ScamSniffer, il 15 agosto un utente ha perso 140 ETH (circa 636.500 dollari al momento della scrittura) copiando un indirizzo errato dalla sua cronologia di trasferimenti crypto “infettata”. Il poisoning degli indirizzi crypto si basa sulla creazione di indirizzi praticamente identici. Gli attaccanti inviano piccole transazioni da portafogli che somigliano molto a quelli di utenti reali per ingannare le vittime a copiare l’indirizzo sbagliato per trasferimenti futuri.
Perdite e Attacchi Recenti
Secondo Cointelegraph, il 10 agosto una vittima di un attacco simile ha perso 880.000 dollari. Altri rapporti indicano due ulteriori casi: uno con una perdita di 80.000 dollari e un altro di 62.000 dollari. In cinque giorni, i truffatori sono riusciti a rubare più di 1,6 milioni di dollari utilizzando questo metodo.
Oltre alle perdite dovute al “poisoning degli indirizzi”, ScamSniffer ha riportato che almeno 600.000 dollari sono stati persi questa settimana a causa di utenti che hanno firmato richieste di phishing malevole come approve, increaseAllowance e permit. Il 12 agosto, a causa di tali azioni, un utente ha perso token BLOCK e DOLO del valore di 165.000 dollari.
Truffe e Malware
Il 11 agosto, gli analisti di F6 hanno scoperto uno schema che prendeva di mira i residenti russi. Utilizzando un mercato falso per il popolare giocattolo Labubu, i truffatori offrivano criptovaluta gratuita con lo stesso nome. Per partecipare alla promozione fraudolenta, agli utenti veniva chiesto di collegare un portafoglio crypto. Una volta attivato, il sito web degli attaccanti richiedeva accesso alle informazioni sul saldo e alla cronologia delle transazioni crypto.
Se erano presenti asset, l’interfaccia richiedeva ulteriori permessi per verificare la partecipazione all’airdrop. Il malware trasferiva quindi i fondi della vittima agli indirizzi dei truffatori.
Gli hacker monitoravano i portafogli; se erano vuoti, agli utenti veniva negata la partecipazione. In precedenza, i truffatori avevano utilizzato il marchio Labubu per rubare account Telegram. Gli attaccanti creavano bot dove le vittime potevano presumibilmente vincere un giocattolo o riceverlo per una recensione. Le vittime condividevano le loro informazioni di contatto e inserivano codici ricevuti tramite il messenger, risultando in accesso perso all’account.
Attacchi con Trojan Efimer
I dipendenti di Kaspersky Lab hanno registrato un’ondata di furti che coinvolgono la sostituzione degli indirizzi dei portafogli crypto. Il Trojan Efimer è distribuito tramite siti WordPress compromessi, torrent e email. Il malware raccoglie anche credenziali da risorse compromesse per ulteriori distribuzioni di spam.
Gli esperti notano che gli attaccanti utilizzano file torrent come esca per attaccare gli individui. Trovano siti WordPress poco protetti e pubblicano messaggi che offrono di scaricare film appena rilasciati. Il link porta a un archivio protetto da password contenente un file malevolo travestito da xmpeg_player.exe.
Nei casi che prendono di mira le organizzazioni, le email di phishing citano violazioni di copyright. L’archivio infetto contiene dettagli insieme al file malevolo che, una volta avviato, infetta il computer con Efimer e visualizza solo una notifica di errore.
Il Trojan sostituisce quindi gli indirizzi crypto negli appunti con i portafogli dell’attaccante e cerca stringhe che somigliano a frasi seed. È anche in grado di eseguire codice fraudolento tramite la rete Tor per il recupero autonomo. Secondo Kaspersky Lab, 5.015 utenti hanno affrontato attacchi Efimer da ottobre 2024 a luglio 2025. I paesi più colpiti sono stati India, Spagna, Russia, Italia e Germania.
Attacco alla Diga in Norvegia
Hacker pro-russi hanno preso il controllo di sistemi operativi critici in una diga in Norvegia e hanno aperto le valvole di rilascio, riporta Bleeping Computer. Gli hacker sono entrati nel sistema digitale che controlla il flusso d’acqua alla diga di Bremanger, impostando le valvole di rilascio in posizione aperta. Gli operatori hanno impiegato circa quattro ore per rilevare e chiudere l’acqua. Nel frattempo, oltre 7,2 milioni di litri erano passati attraverso il sistema.
L’attacco è avvenuto ad aprile ma è stato reso pubblico ad agosto da Beate Gangos, capo del servizio di sicurezza della polizia norvegese. Ha dichiarato che non si trattava tanto di un tentativo di causare danni quanto di una dimostrazione delle capacità degli hacker.
Vulnerabilità nei Sistemi di Concessionari Auto
Il 10 agosto, il ricercatore di cybersecurity Harness Eaton Zveare ha informato TechCrunch di una vulnerabilità nel portale online di un concessionario di un produttore di auto. Ha consentito la divulgazione di dati privati dei clienti, informazioni sulle auto e hacking remoto dei veicoli.
Zveare ha rifiutato di nominare il produttore ma ha confermato che si trattava di un noto costruttore automobilistico con diversi marchi popolari. La vulnerabilità nel sistema di autorizzazione del portale era difficile da scoprire, ma una volta trovata, Zveare ha bypassato completamente il meccanismo di accesso creando un nuovo account amministratore.
Il codice vulnerabile veniva caricato nel browser dell’utente sulla pagina di accesso, consentendo la modifica e il bypass dei controlli di sicurezza per l’autorizzazione.
Con accesso, Zveare poteva raggiungere più di 1.000 concessionari negli Stati Uniti. Ha dimostrato l’exploit prendendo un numero VIN da un’auto in un parcheggio per identificare il proprietario. Lo strumento poteva anche cercare per nome e cognome. Con accesso al portale, era possibile collegare qualsiasi auto a un account mobile, abilitando il controllo di alcune funzionalità—come l’apertura delle porte—dall’app. Zveare non ha testato la fuga con un’auto ma ha notato che la vulnerabilità rendeva possibile tale hack e potenziale furto.
