Une escroquerie de crypto-monnaie non détectée auparavant a exploité une constellation de plus de 1 000 sites Web frauduleux pour piéger les utilisateurs dans un faux programme de récompenses depuis au moins janvier 2021.
« Cette campagne massive a probablement entraîné l’escroquerie de milliers de personnes dans le monde entier », ont déclaré les chercheurs de Trend Micro. a dit dans un rapport publié la semaine dernière, le liant à un acteur menaçant russophone nommé « Impulse Team ».
« L’escroquerie fonctionne via une fraude sur les frais avancés qui consiste à faire croire aux victimes qu’elles ont gagné une certaine quantité de crypto-monnaie. Cependant, pour obtenir leurs récompenses, les victimes devraient payer une petite somme pour ouvrir un compte sur leur site Web. «
La chaîne de compromis commence par un message direct propagé via Twitter pour inciter des cibles potentielles à visiter le site leurre. Le compte responsable de l’envoi des messages a depuis été fermé.
Le message invite les destinataires à créer un compte sur le site Web et à appliquer un code promotionnel spécifié dans le message pour gagner une récompense en crypto-monnaie d’un montant de 0,78632 bitcoin (environ 20 300 $).
Mais une fois qu’un compte est créé sur la fausse plateforme, les utilisateurs sont priés d’activer le compte en effectuant un dépôt minimal d’une valeur de 0,01 bitcoin (environ 258 $) pour confirmer leur identité et terminer le retrait.
« Bien que relativement important, le montant nécessaire pour activer le compte est dérisoire par rapport à ce que les utilisateurs obtiendraient en retour », ont noté les chercheurs. « Cependant, comme prévu, les destinataires ne reçoivent jamais rien en retour lorsqu’ils paient le montant d’activation. »
Une chaîne publique Telegram qui enregistre chaque paiement effectué par les victimes montre que les transactions illicites ont rapporté aux acteurs un peu plus de 5 millions de dollars entre le 24 décembre 2022 et le 8 mars 2023.
Trend Micro a déclaré avoir découvert des centaines de domaines liés à cette fraude, certains d’entre eux étant actifs dès 2016. Tous les faux sites Web appartiennent à un « projet de crypto-arnaque » affilié nommé Impulse qui est annoncé sur les forums russes sur la cybercriminalité depuis février 2021. .
Comme les opérations de ransomware-as-a-service (RaaS), l’entreprise exige que les acteurs affiliés paient des frais pour rejoindre le programme et partagent un pourcentage des revenus avec les auteurs originaux.
Pour conférer à l’opération un vernis de légitimité, les acteurs de la menace auraient créé une version similaire d’un outil anti-escroquerie connu connu sous le nom de ScamDoc, qui attribue un score de confiance à différents sites Web, dans une tentative plausible de faire passer le crypto fragmentaire. services comme dignes de confiance.
Trend Micro a déclaré être également tombé sur des messages privés, des vidéos en ligne et des publicités sur d’autres réseaux sociaux tels que TikTok et Mastodonteindiquant que les affiliés utilisent un large éventail de méthodes pour faire la publicité de l’activité frauduleuse.
« L’acteur de la menace rationalise les opérations de ses affiliés en fournissant un hébergement et une infrastructure afin qu’ils puissent gérer eux-mêmes ces sites Web frauduleux », ont déclaré les chercheurs. « Les affiliés peuvent alors se concentrer sur d’autres aspects de l’opération, comme la gestion de leurs propres campagnes publicitaires. »
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
La nouvelle de l’escroquerie de faux cadeaux coïncide avec une nouvelle vague d’attaques de vol de crypto-monnaie orchestrée par un acteur menaçant surnommé Egouttoir Rose qui se sont fait passer pour des journalistes pour prendre le contrôle des comptes Discord et Twitter des victimes et promouvoir de faux schémas de cryptographie.
Selon les statistiques recueillies par ArnaqueurPink Drainer a réussi à compromettre 2 307 comptes au 11 juin 2023, pour voler plus de 3,29 millions de dollars d’actifs numériques.
Les conclusions surviennent également des semaines après qu’Akamai a dévoilé une nouvelle campagne roumaine de cryptojacking nommée Diicot (anciennement Mexals) qui utilise un module de ver Secure Shell (SSH) basé sur Golang et un nouvel épandeur LAN pour la propagation.
Puis le mois dernier, Elastic Security Labs détaillé l’utilisation d’un rootkit open-source appelé r77 pour déployer le mineur de crypto-monnaie XMRig dans plusieurs pays asiatiques.
« L’objectif principal de r77 est de masquer la présence d’autres logiciels sur un système en accrochant d’importantes API Windows, ce qui en fait un outil idéal pour les cybercriminels cherchant à mener des attaques furtives », ont déclaré les chercheurs.
« En tirant parti du rootkit r77, les auteurs du crypto-mineur malveillant ont pu échapper à la détection et poursuivre leur campagne sans être détectés. »
Il convient de souligner que le rootkit r77 est également intégré dans SeroXenune variante naissante de l’outil d’administration à distance Quasar qui est vendu pour seulement 30 $ pour une licence mensuelle ou 60 $ pour un forfait à vie.