Атаки начались на прошлой неделе и продолжались на выходных. О них стало известно после того, как пострадавшие начали активно сообщать в Twitter о том, что с их частных криптовалютных кошельков были похищены средства.
Судя по сообщениям, используя ряд подставных личностей, злоумышленники выдают себя за создателей NFT, предлагают бизнес-партнерство и обманом заставляют жертв загрузить на свои компьютеры и запустить вредоносный файл. Этот файл замаскирован под скринсейвер для Windows (.SCR).
Исследователь безопасности Барт Блейзер (Bart Blaze) изучил один из таких SCR-файлов и обнаружил, что он был сконфигурирован для временной установки на компьютерах жертв вредоносного ПО Redline. У вредоноса отсутствует механизм сохранения постоянства на системе, то есть, после перезагрузки компьютера он на нем не остается. Тем не менее, это не мешает Redline действовать молниеносно – вредонос способен собрать и похитить все пользовательские данные всего за несколько минут. В частности, он может похищать учетные данные для браузера и конфигурационные файлы криптовалютных кошельков, в том числе браузерные расширения.
В результате одной из таких атак злоумышленники похитили у жертвы 40 тыс. токенов AXS на сумму $176 тыс. Другие потеряли меньшие суммы, но ущерб, хоть и незначительный, все равно ущерб.