یک کلاهبرداری از ارزهای دیجیتال که قبلاً کشف نشده بود، حداقل از ژانویه 2021، مجموعه ای متشکل از بیش از 1000 وب سایت کلاهبردار را به دام انداخته است تا کاربران را در یک طرح پاداش جعلی به دام بیندازند.
محققان Trend Micro در گزارشی که هفته گذشته منتشر شد، گفتند: "این کمپین عظیم احتمالا منجر به کلاهبرداری از هزاران نفر در سراسر جهان شده است."
"این کلاهبرداری از طریق یک کلاهبرداری پیشرفته کارمزد انجام می شود که شامل فریب دادن قربانیان به این باور است که مقدار مشخصی ارز دیجیتال را به دست آورده اند. با این حال، برای دریافت پاداش خود، قربانیان باید مبلغ کمی را برای افتتاح حساب در وب سایت خود بپردازند. "
زنجیره سازش با یک پیام مستقیم که از طریق توییتر منتشر می شود شروع می شود تا اهداف بالقوه را برای بازدید از سایت طعمه فریب دهد. حساب مسئول ارسال پیام ها از آن زمان بسته شده است.
این پیام از گیرندگان می خواهد تا برای یک حساب کاربری در وب سایت ثبت نام کنند و یک کد تبلیغاتی مشخص شده در پیام را برای برنده شدن یک جایزه ارز دیجیتال به مبلغ 0.78632 بیت کوین (حدود 20300 دلار) اعمال کنند.
اما هنگامی که یک حساب در پلتفرم جعلی راهاندازی شد، از کاربران درخواست میشود تا حساب را با حداقل سپرده به ارزش 0.01 بیت کوین (حدود 258 دلار) فعال کنند تا هویت خود را تأیید کرده و برداشت را تکمیل کنند.
محققان خاطرنشان کردند: "در حالی که نسبتاً قابل توجه است، مقدار لازم برای فعال کردن حساب در مقایسه با آنچه که کاربران در ازای دریافت می کنند کم رنگ می شود." با این حال، همانطور که انتظار می رود، گیرندگان با پرداخت مبلغ فعال سازی هرگز چیزی در ازای دریافت نمی کنند.
یک کانال تلگرامی عمومی که تمام پرداختهای قربانیان را ثبت میکند، نشان میدهد که این تراکنشهای غیرقانونی بین ۲۴ دسامبر ۲۰۲۲ تا ۸ مارس ۲۰۲۳ برای بازیگران کمی بیش از ۵ میلیون دلار سود داشته است.
Trend Micro گفت که صدها دامنه مرتبط با این کلاهبرداری را کشف کرده است که برخی از آنها در سال 2016 فعال بودند. همه وب سایت های جعلی متعلق به یک "پروژه رمزنگاری کلاهبرداری" وابسته به اسم رمز Impulse هستند که از فوریه 2021 در انجمن های جرایم سایبری روسیه تبلیغ می شود. .
مانند عملیات باجافزار بهعنوان یک سرویس (RaaS)، این سرمایهگذاری از بازیگران وابسته میخواهد تا برای پیوستن به برنامه هزینهای بپردازند و درصدی از درآمد را با نویسندگان اصلی به اشتراک بگذارند.
اعتقاد بر این است که عاملان تهدید برای مشروعیت بخشیدن به این عملیات، نسخهای شبیه از یک ابزار ضد کلاهبرداری شناخته شده به نام ScamDoc را ایجاد کردهاند که برای وبسایتهای مختلف امتیاز اعتماد را در تلاشی معقول برای نادیده گرفتن رمزارز ناقص ایجاد میکند. خدمات به عنوان قابل اعتماد
Trend Micro گفت که به پیامهای خصوصی، ویدیوهای آنلاین و تبلیغات در سایر شبکههای اجتماعی مانند TikTok و Mastodon نیز برخورد کرده است که نشان میدهد شرکتهای وابسته از طیف گستردهای از روشها برای تبلیغ فعالیتهای کلاهبردار استفاده میکنند.
محققان میگویند: «بازیگر تهدید، عملیات را برای شرکتهای وابسته خود با ارائه میزبانی و زیرساخت سادهسازی میکند تا بتوانند این وبسایتهای کلاهبرداری را به تنهایی اجرا کنند». سپس شرکتهای وابسته میتوانند بر جنبههای دیگر عملیات، مانند اجرای کمپینهای تبلیغاتی خود تمرکز کنند.»
خبر این کلاهبرداری تقلبی همزمان با موج جدیدی از حملات سرقت ارزهای دیجیتال است که توسط یک بازیگر تهدید موسوم به Pink Drainer سازماندهی شده بود و مشخص شد که به عنوان روزنامه نگاران برای به دست گرفتن کنترل حساب های Discord و توییتر قربانیان و ترویج طرح های رمزنگاری جعلی ظاهر شده است.
طبق آمار جمع آوری شده توسط ScamSniffer، Pink Drainer تا تاریخ 11 ژوئن 2023 با موفقیت 2307 حساب کاربری را به خطر انداخته تا بیش از 3.29 میلیون دلار دارایی دیجیتال را سرقت کند.
این یافتهها همچنین چند هفته پس از آن به دست آمد که Akamai یک کمپین جدید رمزنگاری رومانیایی به نام Diicot (که قبلا Mexals بود) را که از یک ماژول کرم مبتنی بر پوسته امن (SSH) و یک پخشکننده LAN جدید برای انتشار استفاده میکرد، به دست آمد.
سپس ماه گذشته، Elastic Security Labs استفاده از روت کیت منبع باز به نام r77 را برای استقرار ماینر ارز دیجیتال XMRig در چندین کشور آسیایی شرح داد.
محققان میگویند: «هدف اصلی r77 پنهان کردن وجود نرمافزارهای دیگر بر روی یک سیستم با اتصال APIهای مهم ویندوز است که آن را به ابزاری ایدهآل برای مجرمان سایبری تبدیل میکند که به دنبال انجام حملات مخفیانه هستند».
با استفاده از روت کیت r77، نویسندگان استخراج کننده رمزنگاری مخرب توانستند از شناسایی فرار کنند و کمپین خود را بدون شناسایی ادامه دهند.
شایان ذکر است که روت کیت r77 در SeroXen نیز گنجانده شده است، نوع جدیدی از ابزار مدیریت از راه دور Quasar که تنها با قیمت 30 دلار برای مجوز ماهانه یا 60 دلار برای بسته مادام العمر فروخته می شود.
محققان Trend Micro در گزارشی که هفته گذشته منتشر شد، گفتند: "این کمپین عظیم احتمالا منجر به کلاهبرداری از هزاران نفر در سراسر جهان شده است."
"این کلاهبرداری از طریق یک کلاهبرداری پیشرفته کارمزد انجام می شود که شامل فریب دادن قربانیان به این باور است که مقدار مشخصی ارز دیجیتال را به دست آورده اند. با این حال، برای دریافت پاداش خود، قربانیان باید مبلغ کمی را برای افتتاح حساب در وب سایت خود بپردازند. "
زنجیره سازش با یک پیام مستقیم که از طریق توییتر منتشر می شود شروع می شود تا اهداف بالقوه را برای بازدید از سایت طعمه فریب دهد. حساب مسئول ارسال پیام ها از آن زمان بسته شده است.
این پیام از گیرندگان می خواهد تا برای یک حساب کاربری در وب سایت ثبت نام کنند و یک کد تبلیغاتی مشخص شده در پیام را برای برنده شدن یک جایزه ارز دیجیتال به مبلغ 0.78632 بیت کوین (حدود 20300 دلار) اعمال کنند.
اما هنگامی که یک حساب در پلتفرم جعلی راهاندازی شد، از کاربران درخواست میشود تا حساب را با حداقل سپرده به ارزش 0.01 بیت کوین (حدود 258 دلار) فعال کنند تا هویت خود را تأیید کرده و برداشت را تکمیل کنند.
محققان خاطرنشان کردند: "در حالی که نسبتاً قابل توجه است، مقدار لازم برای فعال کردن حساب در مقایسه با آنچه که کاربران در ازای دریافت می کنند کم رنگ می شود." با این حال، همانطور که انتظار می رود، گیرندگان با پرداخت مبلغ فعال سازی هرگز چیزی در ازای دریافت نمی کنند.
یک کانال تلگرامی عمومی که تمام پرداختهای قربانیان را ثبت میکند، نشان میدهد که این تراکنشهای غیرقانونی بین ۲۴ دسامبر ۲۰۲۲ تا ۸ مارس ۲۰۲۳ برای بازیگران کمی بیش از ۵ میلیون دلار سود داشته است.
Trend Micro گفت که صدها دامنه مرتبط با این کلاهبرداری را کشف کرده است که برخی از آنها در سال 2016 فعال بودند. همه وب سایت های جعلی متعلق به یک "پروژه رمزنگاری کلاهبرداری" وابسته به اسم رمز Impulse هستند که از فوریه 2021 در انجمن های جرایم سایبری روسیه تبلیغ می شود. .
مانند عملیات باجافزار بهعنوان یک سرویس (RaaS)، این سرمایهگذاری از بازیگران وابسته میخواهد تا برای پیوستن به برنامه هزینهای بپردازند و درصدی از درآمد را با نویسندگان اصلی به اشتراک بگذارند.
اعتقاد بر این است که عاملان تهدید برای مشروعیت بخشیدن به این عملیات، نسخهای شبیه از یک ابزار ضد کلاهبرداری شناخته شده به نام ScamDoc را ایجاد کردهاند که برای وبسایتهای مختلف امتیاز اعتماد را در تلاشی معقول برای نادیده گرفتن رمزارز ناقص ایجاد میکند. خدمات به عنوان قابل اعتماد
Trend Micro گفت که به پیامهای خصوصی، ویدیوهای آنلاین و تبلیغات در سایر شبکههای اجتماعی مانند TikTok و Mastodon نیز برخورد کرده است که نشان میدهد شرکتهای وابسته از طیف گستردهای از روشها برای تبلیغ فعالیتهای کلاهبردار استفاده میکنند.
محققان میگویند: «بازیگر تهدید، عملیات را برای شرکتهای وابسته خود با ارائه میزبانی و زیرساخت سادهسازی میکند تا بتوانند این وبسایتهای کلاهبرداری را به تنهایی اجرا کنند». سپس شرکتهای وابسته میتوانند بر جنبههای دیگر عملیات، مانند اجرای کمپینهای تبلیغاتی خود تمرکز کنند.»
خبر این کلاهبرداری تقلبی همزمان با موج جدیدی از حملات سرقت ارزهای دیجیتال است که توسط یک بازیگر تهدید موسوم به Pink Drainer سازماندهی شده بود و مشخص شد که به عنوان روزنامه نگاران برای به دست گرفتن کنترل حساب های Discord و توییتر قربانیان و ترویج طرح های رمزنگاری جعلی ظاهر شده است.
طبق آمار جمع آوری شده توسط ScamSniffer، Pink Drainer تا تاریخ 11 ژوئن 2023 با موفقیت 2307 حساب کاربری را به خطر انداخته تا بیش از 3.29 میلیون دلار دارایی دیجیتال را سرقت کند.
این یافتهها همچنین چند هفته پس از آن به دست آمد که Akamai یک کمپین جدید رمزنگاری رومانیایی به نام Diicot (که قبلا Mexals بود) را که از یک ماژول کرم مبتنی بر پوسته امن (SSH) و یک پخشکننده LAN جدید برای انتشار استفاده میکرد، به دست آمد.
سپس ماه گذشته، Elastic Security Labs استفاده از روت کیت منبع باز به نام r77 را برای استقرار ماینر ارز دیجیتال XMRig در چندین کشور آسیایی شرح داد.
محققان میگویند: «هدف اصلی r77 پنهان کردن وجود نرمافزارهای دیگر بر روی یک سیستم با اتصال APIهای مهم ویندوز است که آن را به ابزاری ایدهآل برای مجرمان سایبری تبدیل میکند که به دنبال انجام حملات مخفیانه هستند».
با استفاده از روت کیت r77، نویسندگان استخراج کننده رمزنگاری مخرب توانستند از شناسایی فرار کنند و کمپین خود را بدون شناسایی ادامه دهند.
شایان ذکر است که روت کیت r77 در SeroXen نیز گنجانده شده است، نوع جدیدی از ابزار مدیریت از راه دور Quasar که تنها با قیمت 30 دلار برای مجوز ماهانه یا 60 دلار برای بسته مادام العمر فروخته می شود.