Подставной криптокошелек, или как украсть у вора

Несколько месяцев мы с интересом изучали новую, очень элегантную схему криптомошенничества, жертв которой искусно и неторопливо побуждают установить вредоносное приложение для управления криптовалютой. Впрочем, «жертвами» их можно назвать условно, ведь разработчики этой схемы, словно цифровые Робин Гуды, нацеливают ее в первую очередь на… других воришек! Мы разберем схему обмана и способы защиты криптовалют в деталях.

Первая приманка

Все началось с того, что мне в Telegram пришло вполне тривиальное сообщение на криптотематику, пересланное от другого пользователя. Возможно, кто-то другой не увидел бы в этом ничего подозрительного, но… Как тимлид группы аналитиков веб-контента «Лаборатории Касперского» я насторожился и стал изучать пришедший спам детальнее. Текст в нем для ухода от детектирования был «обернут» в пятисекундный видеоролик сo скриншотом объявления о спешной, с огромным дисконтом продаже пары прибыльных криптопроектов и ссылками на них. Первая ссылка на предполагаемый объект продажи вела на небольшую, но реально работающую криптобиржу второго эшелона — вероятнее всего, для усыпления бдительности жертв. Но настоящая приманка скрывалась за второй ссылкой.

Скриншот сообщения о продаже криптопроектов «обернут» в пятисекундный видеоролик. Повод насторожиться!

Удобная ошибка сервера

Никакого вредоносного контента, как можно было бы ожидать, по второй ссылке не обнаружилось. Все было куда интереснее: после ввода адреса вместо титульной страницы сайта отображался… листинг корневой директории с заманчивыми именами файлов. Выглядело так, как будто сервер неправильно настроили или случайно удалили с него домашнюю страницу — и он выдавал список всех файлов в корневом каталоге сайта, якобы сливая всю информацию ничего не подозревающего владельца домена. Можно было кликнуть на любой файл в списке и просмотреть его содержимое прямо в браузере, ведь все они — как удивительно! — хранились в простых и удобных форматах — TXT, PDF, PNG или JPG.

При переходе на сайт отображается список файлов в корневой папке. Среди них нет ни одного HTML-файла

Все это создавало ощущение, что мы влезли в личную папку богатого, но недалекого владельца некоего криптопроекта: в текстовых файлах обнаружились реквизиты криптокошельков, включая сид-фразы, в графических — скриншоты, подтверждающие успешный перевод крупной суммы в крипте, а также демонстрирующие большие остатки в кошельках и роскошный образ жизни владельца.

В текстовом файле заботливо собраны адреса, логины, пароли, сид-фразы, ключи восстановления, пин-коды и приватные ключи

Так, на одном из скриншотов фоном висит открытая вкладка YouTube с инструкцией по покупке «Феррари» и яхт за биткойны; кстати, каталог яхт легко найти в лежащем по соседству PDF. В общем, богатая положена приманка.

На экране — слепок жизни богатого бездельника. И правда, как же правильно покупать «Феррари» и яхты за биткойны?

Реальные кошельки и деньги

Элегантная особенность схемы — реквизиты криптокошельков настоящие, и можно действительно получить к ним доступ и увидеть, например, историю транзакций кошелька Exodus или активы в других кошельках — почти $150 тысяч по версии DeBank.

Хотя сейчас Exodus-кошелек пуст, но он настоящий и им явно пользовались, причем совсем недавно

Правда, деньги вывести не получится, потому что они находятся в стейкинге (грубо говоря — заморожены во вкладе). Тем не менее это сильно снижает скепсис посетителя: кажется, это не спам и не фишинг, а настоящая утечка чьей-то информации, допущенная по небрежности. К тому же нигде нет никаких внешних ссылок или вредоносных файлов — ничего подозрительного!

А вот в других кошельках суммы очень приличные. Жаль только, что средства на них в стейкинге (заморожены)

Мы наблюдали за сайтом в течение двух месяцев, и все это время на нем ничего не менялось. Видимо, мошенники накапливали критическую массу заинтересованных лиц, отслеживая их поведение при помощи аналитики веб-сервера. Только после такого длительного «прогрева» они перешли к следующему этапу атаки.

Новая надежда

После драматической двухмесячной паузы на сайте наконец-то обновление: появляется свежий скриншот с Telegram-чатом, в котором якобы успешно проводится очередная выплата в токенах Monero. На том же скриншоте заметно некое приложение кошелька Electrum-XMR с логом транзакций и общим, очень немалым, остатком на счету: почти 6000 XMR — токенов Monero (на момент публикации поста это около миллиона долларов).

Начинается активная фаза: приманка — кошелек с якобы миллионом долларов

А по соседству со скриншотом по «счастливой случайности» возник и новый текстовый файл, содержащий сид-фразу от этого кошелька.

Наживка — сид-фраза для этого кошелька

Любой нечистый на руку человек в этот момент наверняка побежит скачивать кошелек Electrum для того, чтобы войти в аккаунт «невнимательного лопуха» и перевести себе все оставшиеся деньги. Да вот незадача: Electrum работает только с сетью Bitcoin, а не Monero, для восстановления аккаунта в нем нужна не сид-фраза, а приватный ключ. При попытке восстановить этот ключ из сид-фразы все легальные конвертеры сообщают о ее некорректном формате.

Но алчность застит глаза — ведь на кону миллион долларов, надо спешить, пока их не украл кто-то другой, — и охотник за легкими деньгами отправляется в Google искать либо «Electrum-XMR», либо просто «Electrum Monero». В любом случае в топе выдачи окажется сайт, якобы посвященный форку популярного Bitcoin-кошелька Electrum, но для работы с Monero.

Нужная версия «кошелька» обнаруживается в топе поисковой выдачи

Этот сайт напоминает по дизайну оригинальный Electrum и в лучших традициях open source содержит различные описания, ссылки на GitHub (правда, на оригинальный Electrum, а не Electrum-XMR), явное указание, что это не обычный Electrum, а форк для Monero, и удобные прямые ссылки на скачивание версий для Mac, Windows и Linux.

Сайт поддельного кошелька сделан очень качественно

И вот наш охотник незаметно для себя превращается в жертву. Если скачать и установить Electrum-XMR, компьютер будет заражен вредоносным ПО Backdoor.OLE2.RA-Based.a, обеспечивающим скрытый удаленный доступ атакующих к компьютеру. Далее, вероятно, они анализируют содержимое компьютера и крадут данные криптокошельков и любую другую ценную информацию.

Впрочем, наша защита пресекла бы даже сам заход на вредоносный сайт, не говоря уж о попытке установить троян, — да вот только вряд ли жадные до чужих денег «криптоохотники» ею пользуются.

Наша защита блокирует даже заход на вредоносный сайт, не говоря уж о попытке установки трояна

И вдруг бац — вторая смена!

Закончив разбирать эту удивительно интересную с точки зрения социальной инженерии схему, мы совсем не удивились, получив через некоторое время еще одну похожую наживку, — правда, тут вместо «медленного томления» мошенники воспользовались «прямой прожаркой»: на скриншоте вновь фейковый кошелек с большим балансом, а рядом — открытый текстовый файл с массой приватной информации и даже заботливо прописанной ссылочкой на вредоносный сайт. Так что схема, очевидно, оказалась вполне рабочей, и впереди нас ждет еще много подобных атак.

Во второй версии атаки мошенники решили не затягивать схему: вся информация собрана на одном скриншоте

Как распознать атаку

В разобранной нами схеме «жертва» не вызывает ни малейшего сочувствия — ведь она попадается на удочку, попытавшись украсть чужие деньги. Но мошенники постоянно придумывают новые уловки и в следующий раз могут предложить вполне «этичный» способ заработка — например, из скриншота вы случайно узнаете про очень выгодный airdrop, да и ссылка будет прямо в адресной строке прописана…

Поэтому всегда нужно сохранять бдительность и скептически оценивать информацию. В этой атаке каждый ее этап был по-своему подозрителен. Реклама продажи сайта в виде видеоролика со скриншотом явно оформлена так, чтобы обходить антиспам-алгоритмы. Сайт, не содержащий ничего от собственно сайта, кроме незашифрованных текстовых файлов с данными криптокошельков, выглядит слишком хорошо, чтобы быть правдой. Домен, на котором размещался якобы форк криптокошелька, был зарегистрирован всего за два месяца до момента атаки. Ну а главное — в сложившейся вокруг криптовалют ситуации с высоким уровнем мошенничества использовать малоизвестные приложения криптокошельков — недопустимый риск. Итак:

• применяйте только крупные и проверенные приложения криптокошельков и сайты криптобирж;
• тщательно проверяйте, что получаете к ним доступ только через официальные сайты и скачиваете из корректных источников;
• изучите признаки онлайн-мошенничества;
• используйте полноценную защиту своих компьютеров и смартфонов, чтобы избежать посещения фишинговых сайтов и запуска зловредов;
• подпишитесь на наш блог или Telegram-канал, чтобы первыми узнавать о новых угрозах.