Пока одни злоумышленники создавали криптовалютные скам-сайты, другие учились их взламывать, пишет Securitylab. Примером этого стала группировка Water Labbu – хакеры взламывают сайты мошенников и внедряют в их HTML свой вредоносный JS-код.
Группировка не вступает в контакт с жертвами и оставляют всю социальную инженерию на мошенников. По данным аналитиков, Water Labbu взломала по меньшей мере 45 мошеннических веб-сайтов и заработала около 316 тысяч долларов.
Проанализировав один из взломанных сайтов, специалисты обнаружили, что группировка внедрила тег IMG для загрузки вредоносного JS-кода в кодировке Base64 с помощью события “onerror”, тем самым обходя XSS-фильтры.
Внедренный вредоносный код создает скрипт, который загружает другой скрипт с сервера злоумышленников. Последний скрипт собирает адреса и балансы кошельков TetherUSD и Ethereum.
Если баланс жертвы превышает 0,005 ETH или 22 000 USDT, Water Labbu начинает атаку с определения ОС цели (Windows, Android или iOS). Дальше есть два сценария развития событий:
Несмотря на все эти махинации, для жертв исход один: потеря всей своей криптовалюты. Деньги просто уходят не создателям скам-сайта, а Water Labbu.