Потеря шести значной суммы в криптовалюте
Предприниматель из Сингапура потерял шестизначную сумму в криптовалюте, став жертвой вредоносного ПО, замаскированного под сложную схему тестирования игр. Марк Кох, основатель организации поддержки жертв RektSurvivor, подробно рассказал о своем опыте в интервью с Lianhe Zaobao и в посте на LinkedIn.
Опасная бета-версия игры
В обоих отчетах говорится, что 5 декабря Кох наткнулся на возможность бета-тестирования онлайн-игры под названием MetaToy в Telegram. Кох, который инвестировал и оценивал множество проектов Web3, был уверен, что игра MetaToy является легитимной, основываясь на профессиональном внешнем виде ее сайта и Discord, а также на отзывчивости членов команды. Однако, по его словам, загрузка лаунчера игры MetaToy привела к установке вредоносного ПО на его компьютер.
Реакция на атаку
Его антивирус Norton зафиксировал подозрительную активность на ПК, и Кох предпринял шаги по проведению полных системных сканирований, удалению подозрительных файлов и реестров, а также переустановке Windows 11. Тем не менее, в течение 24 часов после этого все программные кошельки, которые он подключил к своим расширениям браузера Rabby и Phantom, были опустошены на сумму 14,189 долларов (100,000 юаней) в криптовалюте, которую он накопил за восемь лет.
«Я даже не заходил в свое приложение для кошелька. У меня были отдельные сид-фразы. Ничего не сохранялось в цифровом виде,»
— сказал он изданию Decrypt.
Методы атаки
Кох также сообщил Decrypt, что атака, скорее всего, была комбинацией кражи токена аутентификации и уязвимости нулевого дня Google Chrome, которая была впервые обнаружена в сентябре и может позволить выполнять вредоносный код. Он подчеркивает, что уязвимость, вероятно, имела несколько векторов атаки, учитывая, что он просканировал все идентифицируемые подозрительные файлы и что его антивирус Norton смог заблокировать две попытки захвата DLL (библиотеки динамической компоновки).
«Таким образом, у нее было несколько векторов, и также был внедрен вредоносный запланированный процесс,»
— добавил он.
Рекомендации по безопасности
В условиях этой очевидной сложности Кох отметил, что потенциальные цели — особенно ангельские инвесторы или разработчики, которые, вероятно, загрузят бета-лаунчеры — должны принимать дополнительные меры безопасности.
«Поэтому я бы посоветовал даже в том случае, если принимаются обычные меры предосторожности, фактически удалять и уничтожать сиды из браузерных горячих кошельков, когда они не используются,»
— сказал он.
«И если возможно, используйте приватный ключ, а не сид, потому что тогда все остальные производные кошельки не будут под угрозой.»
Обращение в полицию
Кох сообщил о мошенничестве в полицию Сингапура, которая подтвердила китайскоязычной газете Lianhe Zaobao, что получила соответствующий отчет. Основатель RektSurvivor также связал Decrypt с Даниэлем, другим жертвой уязвимости MetaToy, который также находился в Сингапуре. Другой жертва рассказала Decrypt, что он все еще поддерживает связь с мошенником, который был под впечатлением, что он, Даниэль, все еще пытается загрузить лаунчер игры.
Современные угрозы
Уязвимость MetaToy возникает на фоне того, как киберпреступники используют все более сложные методы для заражения компьютеров вредоносным ПО. В октябре McAfee обнаружила, что хакеры использовали репозитории GitHub, чтобы позволить своему банковскому вредоносному ПО подключаться к новым серверам всякий раз, когда предыдущий сервер отключается. Аналогично, в этом году наблюдается использование поддельных инструментов ИИ, направленных на распространение вредоносного ПО для кражи криптовалюты, а также использование поддельных капч и вредоносных запросов на изменение, вставленных в расширения кода Ethereum.
