Uma fraude de criptomoedas anteriormente não detectada tem aproveitado uma constelação de mais de 1.000 sites fraudulentos para capturar usuários em um esquema de recompensas falsas desde pelo menos janeiro de 2021.
"Essa campanha massiva provavelmente resultou em milhares de pessoas sendo enganadas em todo o mundo", disseram os pesquisadores da Trend Micro em um relatório publicado na semana passada, relacionando-a a um ator ameaçador de língua russa chamado "Impulse Team".
"A fraude funciona por meio de uma fraude de taxa avançada que envolve enganar as vítimas a acreditarem que ganharam uma certa quantidade de criptomoedas.
No entanto, para receber suas recompensas, as vítimas precisariam pagar uma pequena quantia para abrir uma conta em seu site."
A cadeia de comprometimento começa com uma mensagem direta propagada pelo Twitter para atrair possíveis alvos a visitar o site falso.
A conta responsável por enviar as mensagens foi fechada desde então.
A mensagem insta os destinatários a se inscreverem em uma conta no site e aplicar um código promocional especificado na mensagem para ganhar uma recompensa de criptomoeda no valor de 0,78632 bitcoin (cerca de US $ 20.300).
Mas uma vez que uma conta é criada na plataforma falsa, os usuários são solicitados a ativar a conta fazendo um depósito mínimo no valor de 0,01 bitcoin (cerca de US $ 258) para confirmar sua identidade e completar a retirada.
"Embora relativamente grande, a quantia necessária para ativar a conta é insignificante em comparação com o que os usuários receberiam em troca", observaram os pesquisadores.
"No entanto, como esperado, os destinatários nunca recebem nada em troca quando pagam a quantia de ativação."
Um canal público no Telegram que registra todos os pagamentos feitos pelas vítimas mostra que as transações ilícitas renderam aos atores um pouco mais de US $ 5 milhões entre 24 de dezembro de 2022 e 8 de março de 2023.
A Trend Micro disse que descobriu centenas de domínios relacionados a esta fraude, sendo que alguns deles estavam ativos desde 2016.
Todos os sites falsos pertencem a um "projeto cripto de fraude" afiliado com o codinome Impulse, que foi anunciado em fóruns de cibercrime russos desde fevereiro de 2021.
Assim como as operações de ransomware como serviço (RaaS), o empreendimento exige que os atores afiliados paguem uma taxa para ingressar no programa e compartilhem uma porcentagem dos ganhos com os autores originais.
Para dar à operação uma aparência de legitimidade, acredita-se que os atores ameaçadores tenham criado uma versão semelhante a uma ferramenta anti-fraude conhecida como ScamDoc, que atribui uma pontuação de confiança para diferentes sites, em uma tentativa plausível de passar pelos serviços cripto suspeitos como confiáveis.
A Trend Micro disse que também se deparou com mensagens privadas, vídeos online e anúncios em outras redes sociais, como TikTok e Mastodon, indicando que os afiliados estão usando uma ampla gama de métodos para anunciar a atividade fraudulenta.
"O ator ameaçador simplifica as operações para seus afiliados fornecendo hospedagem e infraestrutura para que possam executar esses sites de fraude por conta própria", disseram os pesquisadores.
"Os afiliados são então capazes de se concentrar em outros aspectos da operação, como executar suas próprias campanhas publicitárias."
A notícia da fraude de brindes falsos coincide com uma nova onda de ataques de roubo de criptomoedas orquestrados por um ator ameaçador apelidado de Pink Drainer, que foi encontrado se passando por jornalistas para assumir o controle das contas do Discord e Twitter das vítimas e promover esquemas cripto falsos.
De acordo com estatísticas coletadas pelo ScamSniffer, o Pink Drainer comprometeu com sucesso 2.307 contas até 11 de junho de 2023, para roubar mais de US $ 3,29 milhões em ativos digitais.
As descobertas também vêm semanas depois que a Akamai revelou uma campanha de cryptojacking romena renovada chamada Diicot (anteriormente Mexals) que emprega um módulo SSH de verme baseado em Golang e um novo propagador LAN para propagação.
Então, no mês passado, a Elastic Security Labs detalhou o uso de um rootkit de código aberto chamado r77 para implantar o minerador de criptomoedas XMRig em vários países asiáticos.
"O objetivo principal do r77 é ocultar a presença de outro software em um sistema, conectando APIs importantes do Windows, tornando-o uma ferramenta ideal para cibercriminosos que procuram realizar ataques furtivos", disseram os pesquisadores.
"Aproveitando o rootkit r77, os autores do minerador de criptomoedas malicioso foram capazes de evitar detecção e continuar sua campanha sem serem detectados."
Vale ressaltar que o rootkit r77 também é incorporado ao SeroXen, uma variante nascente da ferramenta de administração remota Quasar que está sendo vendida por apenas US $ 30 por uma licença mensal ou US $ 60 para um pacote vitalício.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...