Мошенники развернули новую фишинговую кампанию против участников сферы криптовалют, используя зараженные файлы для получения доступа к кошелькам.
В пятницу инвесторы AnubisDAO потеряли $60 млн, после того как проект, предположительно, пал жертвой данного метода. Причастный к проекту человек поделился скриншотом электронного письма с прикрепленным файлом. Письмо поступило с адреса, зарегистрированного на имя известного криптоинвестора, который на самом деле не был владельцем ящика. PDF-файл во вложении был озаглавлен как инвестиционная презентация и мог содержать зловредный код.
Организаторы проекта сообщили, что связались с фирмой Chainalysis для отслеживания перемещений похищенных средств и передали файл экспертам для анализа. AnubisDAO, однако, оказался не единственным получателем такого письма. Венчурные фирмы County Capital и Sneaky Ventures также объявили, что были включены в фишинговую рассылку. Кроме того, такое же письмо получили в Sino Global Capital.
Организаторы атаки оставили сообщение в блокчейне Ethereum, где заявили, что вдохновились аналогичной фишинговой атакой в прошлом. Они ссылаются на атаку против трейдинговой фирмы mgnr, осуществленную ранее в этом месяце.
«Мы не из Северной Кореи и не взламывали mgnr, но вдохновились этой атакой. Нам не важно, что это были ваши деньги на оплату аренды. Может быть, вам не стоит торговать на арендные деньги или деньги, которые вы не хотите потерять», — написали хакеры.
Компании известно о двух других случаях аналогичных рассылок, осуществленных от имени венчурной фирмы Pantera Capital с вложениями в письмах.
«Прикрепленный файл, возможно, был необходим для установки кейлогера и кражи данных от менеджера паролей, где мы (по своей глупости) хранили приватный ключ от временного горячего кошелька для обмена им между несколькими участниками команды», — заявили в mgnr.
Как пояснил в разговоре с The Block основатель Area 1 Security и бывший аналитик Агентства национальной безопасности США Орен Фальковиц, содержимое подобных писем может отличаться от того, что ожидает увидеть получатель. Например, файл может иметь расширение «.pdf», когда в действительности это исполняемый файл с инструкциями для запуска на компьютере. В этом плане подобные документы ничем не отличаются от любых других установочных файлов, которые можно скачать из интернета.
После открытия такого документа происходит установка зловредного ПО, включая кейлогеры и другие инструменты для отслеживания активности пользователя. В дальнейшем они позволяют считать приватную информацию, открывающую доступ к криптовалютному кошельку жертвы.
