WalletConnect joutui kryptohuijareiden hyväksikäyttämäksi
Google Play -palvelussa ehti olla viiden kuukauden ajan huijausversio tunnetusta protokollasta WalletConnect.
Petollisen kryptovaluuttalompakkosovelluksen on kerrottu varastaneen 70 000 dollaria käyttäjiltä pitkälle mietityssä huijauksessa, jota on kuvattu maailman ensimmäiseksi mobiilikäyttäjiin kohdistuvaksi huijaukseksi.
WalletConnect-niminen haitallinen sovellus jäljitteli hyvämaineista WalletConnect-protokollaa, mutta oli itse asiassa kiero suunnitelma kryptolompakoiden tyhjentämiseksi.
Huijaussovellus onnistui huijaamaan yli 10 000 käyttäjää lataamaan sen, kertoo huijauksen paljastaneen Check Point Researchin (CPR) kyberturvallisuusyritys.
WalletConnect-huijarit markkinoivat huijaussovellusta ratkaisuna Web3-ongelmiin
Sovelluksen takana olevat huijarit olivat hyvin tietoisia Web3-käyttäjien tyypillisistä haasteista, kuten yhteensopivuusongelmista ja WalletConnectin laajan tuen puutteesta eri lompakoissa.
He markkinoivat huijaussovellusta taitavasti ratkaisuna näihin ongelmiin ja käyttivät hyväkseen sitä, että Play Storessa ei ole virallista WalletConnect-sovellusta.
Yhdessä lukuisten väärennettyjen positiivisten arvostelujen kanssa sovellus vaikutti lailliselta pahaa aavistamattomien käyttäjien silmissä.
Sovellusta ehdittiin ladata yli 10 000 kertaa. CPR:n tutkimuksessa havaittiin kuitenkin vain yli 150 kryptolompakkoon liittyviä tapahtumia, mikä osoittaa, kuinka moni henkilö todella joutui huijauksen uhriksi.
Kun sovellus oli asennettu, se kehotti käyttäjiä yhdistämään lompakkonsa ja väitti tarjoavansa turvallisen ja saumattoman pääsyn Web3-sovelluksiin.
Kun käyttäjät hyväksyivät tapahtumat, heidät kuitenkin ohjattiin haitalliselle verkkosivustolle, joka keräsi lompakon tiedot, mukaan lukien lohkoketjuverkko ja tunnetut osoitteet.
Älykkäiden sopimusten mekaniikkaa hyväksikäyttäen hyökkääjät pystyivät käynnistämään luvattomia siirtoja, jolloin uhrien lompakoista vietiin arvokkaita kryptovaluuttapoletteja.
Operaation kokonaissaaliin arvioitiin olevan noin 70 000 dollaria.
Sovelluksen pahantahtoisesta tarkoituksesta huolimatta vain 20 uhria jätti Play Storeen negatiivisia arvosteluja, jotka jäivät nopeasti lukuisten väärennettyjen positiivisten arvostelujen varjoon.
Tämän ansiosta sovellus pysyi huomaamatta viisi kuukautta, kunnes sen todellinen luonne paljastui ja se poistettiin Google Play -alustalta elokuussa.
”Tämä tapaus toimii hyvänä herätyksenä koko digitaalisten hyödykkeiden yhteisölle”, sanoo Alexander Chailytko, CPR:n kyberturvallisuus-, tutkimus- ja innovaatiopäällikkö.
Hän korosti, että tarvitaan kehittyneitä tietoturvaratkaisuja tällaisten kehittyneiden hyökkäysten estämiseksi. Chailytko kehotti sekä käyttäjiä että kehittäjiä ryhtymään ennakoiviin toimiin digitaalisten omaisuuseriensä suojaamiseksi.
WalletConnect on joutunut ennenkin huijauskampanjoihin
Tämä ei ole ensimmäinen kerta, kun WalletConnect joutuu huijareiden hyväksikäytön uhriksi. Kerroimme alkuvuodesta, että Kryptovaluuttaan liittyvä lunnasohjelmistojen ja dark web- eli pimeän verkon markkinoiden toiminta on lisääntynyt huomattavasti.
Inferno Drainer -huijaus oli moniketjuinen kryptovaluuttojen varastamiseen tarkoitettu haittaohjelma, joka toimi marraskuun 2022 ja marraskuun 2023 välillä, kertoi Group-IB:n tuolloin. Tänä aikana Inferno Drainer onnistui vaarantamaan noin 130 000 henkilöä ja varastamaan lähes 87 miljoonan dollarin arvosta digitaalisia varoja.
Raportissa kerrotaan, että Inferno Drainer houkutteli uhreja käyttämällä phishing-sivustoja, jotka teeskentelivät olevansa kryptoprojekteja. Lisäksi verkkorikolliset väärensivät suosittuja Web3-protokollia, kuten juuri WalletConnectia, Seaportia, ja Coinbasea, suorittaakseen huijauksia. Group-IB:n EU-alueen uhkatiedustelupäällikkö Rustam Mirkasymov kertoi Cryptonewsille, että hyökkäyksissä, jotka kohdistuvat kryptopalveluntarjoajiin, varojen omistajat eivät voi suoraan vaikuttaa niiden turvallisuuteen, koska he ovat luovuttaneet ne palveluntarjoajan hallintaan.
Google poisti haitalliset versiot sovelluksesta
Google totesi vastauksena näihin havaintoihin, että kaikki CPR:n tunnistamat sovelluksen haitalliset versiot poistettiin ennen raportin julkaisemista.
Teknologiajätti korosti, että sen Google Play Protect -ominaisuus on suunniteltu suojaamaan Android-käyttäjiä automaattisesti tunnetuilta uhkilta, vaikka ne olisivat peräisin Play-kaupan ulkopuolelta.
Tapaus on jatkoa Kasperskyn hiljattain paljastamalle kampanjalle, jossa 11 miljoonaa Android-käyttäjää latasi tietämättään Necro-haittaohjelman saastuttamia sovelluksia, mikä johti luvattomiin tilausmaksuihin.
Toisessa yrityksessä kyberturvallisuushuijaajat käyttivät automaattisia sähköpostivastauksia vaarantaakseen järjestelmät ja levittääkseen salakavalasti kryptokaivoshaittaohjelmia.
Facct-uhkatiedusteluyrityksen raportin mukaan hakkerit ovat käyttäneet vaarantuneilta tileiltä lähetettyjä automaattisia vastaussähköposteja kohdistaakseen hyökkäyksiä venäläisiin organisaatioihin, kuten yrityksiin, markkinapaikkoihin ja rahoituslaitoksiin.
Hyökkääjät pyrkivät asentamaan XMRig-louhintaohjelman uhrien laitteisiin, jolloin he voivat louhia digitaalisia varoja salaa.
Facctin tutkimuksessa kävi ilmi, että toukokuun lopun jälkeen on tunnistettu noin 150 XMRig-kaivuria sisältävää sähköpostiviestiä.
Yrityksen yrityssähköpostin suojausjärjestelmä esti kuitenkin onnistuneesti nämä haitalliset sähköpostit ennen kuin ne ehtivät asiakkaisiin.
Facctin vanhempi analyytikko Dmitry Eremenko korosti tämän hyökkäysvektorin ainutlaatuista vaaraa.
Toisin kuin tyypillisissä joukkokalastuskampanjoissa, joissa potentiaaliset uhrit voivat helposti sivuuttaa epäilyttävät sähköpostiviestit, tässä menetelmässä hyödynnetään vastaanottajien odotuksia.
Cthulhu Stealer -huijausohjelma vaivaa MacOS-järjestelmiä
”Cthulhu Stealer”, joka vaikuttaa MacOS-järjestelmiin, naamioituu samalla tavalla lailliseksi ohjelmistoksi ja kohdistuu henkilökohtaisiin tietoihin, kuten MetaMask-salasanoihin, IP-osoitteisiin ja kylmän lompakon yksityisiin avaimiin.
Cado Security korosti tuoreessa raportissaan macOS-käyttäjiin kohdistuvaa kasvavaa uhkaa.
”Vaikka MacOS:llä on maine turvallisena, macOS-haittaohjelmat ovat viime vuosina olleet kasvussa”, yritys totesi.
Cthulhu Stealer -haittaohjelma naamioituu lailliseksi ohjelmistoksi, kuten CleanMyMaciksi tai Adobe GenP:ksi, ja se esiintyy Applen levykuvan (DMG) muodossa.
Kun käyttäjät ovat ladanneet ja avanneet tämän tiedoston, heitä pyydetään syöttämään salasanansa macOS:n AppleScriptiä ja JavaScriptiä suorittavan komentotyökalurivin kautta.
Kun ensimmäinen salasana on syötetty, haittaohjelma pyytää toista salasanaa, joka kohdistuu erityisesti Ethereum-lompakko MetaMaskiin.
Myös muut suositut kryptolompakot, kuten Coinbase, Wasabi, Electrum, Atomic, Binance ja Blockchain Wallet, ovat vaarassa.
Kun Cthulhu Stealer pääsee käsiksi, se tallentaa varastetut tiedot tekstitiedostoihin ja jatkaa sormenjälkien ottamista uhrin järjestelmästä keräämällä tietoja, kuten IP-osoitteen ja käyttöjärjestelmän version.
”Cthulhu Stealer -ohjelman päätoiminto on varastaa tunnistetietoja ja kryptovaluuttalompakoita eri kaupoista, myös pelitileistä”, Cado Securityn tutkija Tara Gould sanoo.
Cthulhu Stealerilla on yhtäläisyyksiä Atomic Stealer -nimisen haittaohjelman kanssa, joka löydettiin vuonna 2023 ja joka kohdistui Applen tietokoneisiin.
Gould arvelee, että Cthulhu Stealer -haittaohjelman kehittäjä on todennäköisesti muokannut Atomic Stealer -koodia luodakseen tämän uuden kannan.
Haittaohjelmaa on vuokrattu kumppaneille 500 dollarin kuukausihintaan Telegram-viestialustan kautta, ja voitot on jaettu kehittäjien kesken.
Viimeaikaiset kiistat maksuista ovat kuitenkin tiettävästi aiheuttaneet sen, että tärkeimmät huijarit ovat kadonneet, mikä on johtanut syytöksiin poistumishuijauksesta.
Cthulhu Stealerin ja muiden vastaavien uhkien, kuten Ledger Live -ohjelmistoa kloonaavan AMOS-haittaohjelman, yleistyminen on saanut Applen ryhtymään toimiin.
Teknologiajätti ilmoitti hiljattain päivityksistä macOS-käyttöjärjestelmäänsä, mikä vaikeuttaa käyttäjien mahdollisuuksia ohittaa Gatekeeper-suojaukset, jotka varmistavat, että vain luotettuja sovelluksia ajetaan.
Lue myös nämä
in numbers
