10/04/24
Специалисты MalwareHunterTeam сообщают, что почти 2 000 взломанных сайтов WordPress используются для отображения поддельных всплывающих окон с предложениями NFT и скидок. Кампания направлена на то, чтобы обманом заставить посетителей подключить свои криптокошельки к приложениям, которые автоматически крадут криптовалюты.
Атаки являются развитием предыдущей кампании, в ходе которой хакеры уже скомпрометировали около 1 000 сайтов, используя мошенническую рекламу и видео на YouTube для продвижения своих вредоносных инструментов. Похоже, что первоначальная кампания не принесла ожидаемого успеха, и злоумышленники перешли к использованию новых скриптов, превращающих браузеры пользователей в инструменты для подбора паролей администраторов на других сайтах, пишут в Securitylab.
В ходе атак было задействовано около 1700 сайтов, среди которых были и известные, такие как сайт Ассоциации частных банков Эквадора. Целью было создание достаточно большого пула сайтов для последующей монетизации в рамках более крупной кампании.
По данным MalwareHunterTeam, мошенники начали использовать пул сайтов для отображения всплывающих окон с фальшивыми предложениями NFT и скидками на криптовалюты. На текущий момент неизвестно, сколько именно сайтов отображают такие вредоносные всплывающие окна, но поиск Urlscan показывает, что более 2 000 скомпрометированных сайтов загружали злонамеренные скрипты в течение последних 7 дней.
Всплывающие окна призывают жертв подключить свои кошельки для минтинга (чеканки) перспективных NFT или получения скидки на сайте. При нажатии на кнопку подключения скрипты предлагают привязать кошельки MetaMask, Safe Wallet, Coinbase, Ledger и Trust Wallet. Кроме того, поддерживается протокол для соединения кошельков WalletConnect, расширяющий спектр потенциальных целей.
Как только посетитель подключает свой кошелек к сайту, дрейнер криптовалют крадет все средства и NFT из аккаунта, переводя их злоумышленникам. Отмечается, что MetaMask выдает предупреждение при посещении сайтов, зараженных такими скриптами.
Дрейнеры криптовалют стали серьезной проблемой для криптосообщества, а также хакеры, взламывающие известные аккаунты и создающие дипфейк-видео с рекламой для продвижения сайтов с вредоносными скриптами.
Для защиты своих цифровых активов от операторов дрейнеров криптовалют и других киберпреступников рекомендуется подключать кошелек только к проверенным платформам. Независимо от репутации сайта, следует проявлять осторожность при встрече с неожиданными всплывающими окнами, особенно если они не соответствуют основной тематике или дизайну сайта.
