CryptoCore: афера на $5,4 млн
15/08/24
Появилась новая угроза для инвесторов и пользователей. Мошенники создают все более изощренные схемы обмана, ставя под угрозу безопасность цифровых активов миллионов людей по всему миру, пишет Securitylab.
Группа злоумышленников, получившая кодовое название CryptoCore, выделяется среди прочих своими хитроумными тактиками. Арсенал их инструментов впечатляет: технология deepfake для создания поддельных видео, взломанные аккаунты YouTube с миллионами подписчиков и профессионально разработанные веб-сайты. Все вместе создает убедительную иллюзию надёжности, заставляющую пользователей добровольно отправлять свои криптовалюты на кошельки мошенников.
Основной принцип работы CryptoCore строится на эксплуатации человеческого доверия к известным брендам, знаменитостям и значимым событиям. Злоумышленники мастерски маскируют свои сообщения под официальные коммуникации от доверенных источников, будь то аккаунты социальных сетей или страницы популярных мероприятий. Подобная тактика позволяет им паразитировать на репутации уважаемых личностей и организаций, вводя в заблуждение даже самых осторожных пользователей.
Жертву обычно перенаправляют на тщательно продуманный поддельный сайт, обещающий быструю и легкую прибыль. Для усиления эффекта и создания ощущения срочности мошенники часто используют ограниченные по времени «эксклюзивные» предложения. Потенциальной жертве внушается мысль, что если она не воспользуется шансом немедленно, то упустит уникальную возможность заработка.
Успех операций CryptoCore базируется на трех ключевых факторах: тщательная подготовка перед каждым «мероприятием», сложная техническая инфраструктура и способность молниеносно распространять мошеннические материалы среди максимально широкой аудитории через популярные социальные платформы.
Процесс подготовки к атаке включает несколько этапов. Первым делом злоумышленники взламывают аккаунты с большим количеством подписчиков, чаще всего на YouTube. Методы взлома варьируются от сложных фишинговых кампаний до использования вредоносного ПО, распространяемого через электронную почту. После получения доступа к аккаунту мошенники тщательно готовят дипфейк-контент, ожидая подходящего момента для его распространения.
В день намеченного «мероприятия» происходит полная трансформация захваченного аккаунта. Меняется фоновое изображение, описание канала, добавляется поддельный контент – все для повышения правдоподобности. Когда пользователи начинают искать информацию об официальном мероприятии, они с высокой вероятностью натыкаются на поддельный контент, учитывая большое количество подписчиков взломанного аккаунта.
Масштабы деятельности CryptoCore поражают воображение. За шестимесячный период исследования было выявлено более 1200 криптовалютных кошельков, использованных в мошеннических схемах. Наиболее часто злоумышленники оперировали с такими криптовалютами, как Ethereum, Bitcoin, Tether и Dogecoin. Общий оборот средств на этих кошельках составил около 5,4 миллиона долларов США, что говорит о колоссальных масштабах проблемы.
YouTube, будучи крупнейшей в мире платформой для обмена видео с аудиторией в миллиарды пользователей, стал главной мишенью для атак CryptoCore. Анализ взломанных аккаунтов показал, что более 20% из них имели свыше миллиона подписчиков. Наибольшая доля, примерно 36%, пришлась на аккаунты с аудиторией от 100 до 500 тысяч человек. Такой выбор не случаен – большое количество подписчиков не только обеспечивает широкий охват, но и добавляет видимость легитимности поддельным сообщениям.
Технология deepfake стала ключевым инструментом в арсенале мошенников. Для создания убедительных подделок используются фрагменты реальных выступлений и интервью известных личностей. Например, для имитации контента, связанного с SpaceX и Илоном Маском, злоумышленники использовали кадры с таких мероприятий, как SpaceX All Hands 2024, Starship Flight Test и Starship Update 2022 года. В случае с Майклом Сэйлором, основателем MicroStrategy, мошенники создавали поддельные видео с заголовками вроде «Биткойн - цифровая энергия будущего с Майклом Сэйлором» или «10 правил успеха в криптомире от Майкла Сэйлора».
Статистика, собранная за период с января по июнь 2024 года, выявила 340 различных доменов, используемых для распространения мошеннических схем CryptoCore. Анализ показал, что наиболее часто эксплуатируемыми темами были MicroStrategy, SpaceX и Tesla – компании и бренды, тесно связанные с миром криптовалют и инноваций.
Техническая сторона операций CryptoCore впечатляет своей сложностью. Веб-сайты мошенников построены на основе обфусцированных JavaScript-скриптов, что значительно затрудняет их анализ и обнаружение. Такой подход позволяет эффективно скрывать адреса криптовалютных кошельков, константы и другие критические элементы, формирующие динамически генерируемый контент. QR-коды кошельков, часто используемые для упрощения процесса перевода средств, генерируются отдельным обфусцированным скриптом и хранятся локально в памяти устройства жертвы.
Особую обеспокоенность вызывает тот факт, что мошенники активно перенаправляют потенциальных жертв на мобильные устройства. Статистика показывает, что соотношение обнаружений вредоносной активности CryptoCore на настольных компьютерах и смартфонах составляет 2:5. Такая тенденция объясняется тем, что мобильные устройства зачастую менее защищены от киберугроз, что увеличивает шансы мошенников на успех.
Географический анализ атак CryptoCore показал, что наиболее уязвимыми странами оказались США, Великобритания, Бразилия и Германия. Высокий уровень проникновения криптовалют и развитая цифровая инфраструктура в этих странах делают их привлекательными целями для киберпреступников.