استخدام طريقة تصيد مألوفة لاستهداف علامات تجارية جديدة.
نحن نراقب نوع الهجمات التي يتعرض لها مستخدمو العملات المشفرة يوميًا ، وغالبًا ما نكتب عن النتائج التي توصلنا إليها للمساعدة في تثقيف المجتمع. لقد رأينا أنواعًا مختلفة من الهجمات على المستخدمين ، تتراوح من عمليات احتيال تداول الثقة البسيطة إلى اختطاف بطاقة SIM لتسوية وسرقة الأموال من حسابات الصرف.
في الآونة الأخيرة ، صادفنا حملات كبيرة تدفع بملحقات المتصفح المزيفة للمستخدمين وتستهدف العلامات التجارية المعروفة عبر إعلانات Google والقنوات الأخرى. في حين أن هذا ليس ناقل هجوم جديد - ونحن مكتوب عن ملحقات المستعرض الضارة من قبل - العلامات التجارية المستهدفة جديدة.
أهداف البحث هي:
- تثقيف "المستخدمين اليوميين" حول ماهية ناقلات الهجوم المختلفة
- تقرير عن الحملات الكبيرة لتوعية الناس
- امنح "المستخدمين العاديين" أمثلة من الحياة الواقعية للهجمات حتى يزداد احتمال قيامهم بفرض ضوابط أمنية على أصولهم
- ساعد في إغلاق البنية التحتية لحملة الاحتيال
- اجمع المعلومات الاستخبارية لإدخالها في الأدوات المخصصة للمساعدة في الكشف قبل وقوع الضحايا
لقد وجدنا مجموعة من الإضافات التي تستهدف العلامات التجارية ومستخدمي العملات المشفرة. بينما تعمل جميع الملحقات بالطريقة نفسها ، تختلف العلامة التجارية اعتمادًا على المستخدم الذي تستهدفه. العلامات التجارية التي وجدنا أنها مستهدفة بامتدادات ضارة هي:
- موازنة
- تريزور
- جاكس
- إلكتروم
- MyEtherWallet
- ميتامسك
- نزوح
- KeepKey
بشكل أساسي ، الامتدادات هي تصيد احتيالي للأسرار - عبارات ذاكري ، مفاتيح خاصة ، وملفات تخزين المفاتيح. بمجرد أن يقوم المستخدم بإدخالها ، يرسل الامتداد طلب HTTP POST إلى الواجهة الخلفية الخاصة به ، حيث يتلقى الفاعلون السيئون الأسرار ويفرغون الحسابات.
لقد حددنا 14 فريدة من نوعها C2s (المعروف أيضًا باسم خادم القيادة والتحكم الذي يستمر في التواصل مع نظامك المخترق) ولكن باستخدام تحليل بصمات الأصابع ، يمكننا ربط C2s معينة ببعضها البعض لاستنتاج أي من مجموعات التصيد الاحتيالي لديها نفس الفاعلين السيئين وراءهم. أرسلت بعض المجموعات البيانات المخادعة إلى نموذج GoogleDocs. ومع ذلك ، استضاف معظمهم الخلفية الخاصة بهم مع نصوص PHP مخصصة. C2s المحددة هي:
- تحليلات- خادم 296. xyz
- Coinomibeta.online
- Completssl.com
- com.cxext.org
- دفتر الأستاذ
- Ledgerwallet.xyz
- mecxanalytic.co
- Networkforworking.com
- trxsecuredapi.co
- usermetrica.org
- Walletbalance.org
- دفاتر
- vh368451.eurodir.ru
- xrpclaim.net
في حين أن بعض النطاقات قديمة نسبيًا ، تم تسجيل 80٪ من C2s في مارس وأبريل 2020 (تقسيم متساوٍ). يحتوي النطاق الأقدم (Ledger.productions) على معظم "الاتصالات" مع C2s الأخرى من حيث بصمات الأصابع ، لذلك لدينا بعض المؤشرات على نفس مجموعة الواجهة الخلفية (أو نفس الجهات الفاعلة وراء ذلك) لمعظم الامتدادات.
لقد قمنا أيضًا بفحص بعض ملفات C2 الأخرى بحثًا عن ملفات السجل الشائعة ، وبينما لم يكن معظمها متاحًا على جذر الويب ، فإن بعضها يصدر 403 ، وكان هناك ملف خاص بـ trxsecuredapi.co بعض صغيرة البصيرة (إذا أخذناها جميعًا في ظاهرها):
- الخادم المستخدم لهذا C2 هو
trxsqdmn - يتبع البريد الإلكتروني للمشرف هذا القناع: "b - 0 @ r - r.ru" - يشير إلى جهات فاعلة مقرها روسيا
- كان السجل الأول 29 مارس 2020 10:43:14 America / New_York
- يستضيف C2 ملفات أخرى غير تلك لجمع الأسرار المخادعة
يوجد أدناه مقطع فيديو يوضح كيفية عمل امتداد ضار يستهدف مستخدمي MyEtherWallet. تبدو مثل تجربة MyEtherWallet النموذجية حتى تكتب أسرارك. بعد إرسالها ، يرسل التطبيق الضار أسرارك مرة أخرى إلى الخادم الذي يتحكم فيه (الفاعلون) السيئون قبل إرسالك مرة أخرى إلى العرض الافتراضي ، ثم لا يفعل شيئًا ، مما ينتج عنه إما:
- يشعر المستخدم بالإحباط ويقدم أسرارًا مرة أخرى (ربما حتى أسرار مختلفة)
- يقوم المستخدم بإلغاء تثبيت الامتداد ونسيان تداعيات كتابة أسراره حتى يتم استنزاف الأموال من محفظته - والتي من المرجح أن تكون بعد إزالة الامتداد من المتجر حتى لا يتمكنوا من التحقق من مكان الثقب الأمني.
بعض الإضافات لديها شبكة من المستخدمين المزيفين يقيمون التطبيق بخمس نجوم ويقدمون تعليقات إيجابية على الامتداد لإغراء المستخدم بتنزيله. كانت معظم التعليقات الإيجابية من الجهات السيئة منخفضة الجودة ، مثل "جيد" أو "تطبيق مفيد" أو "امتداد شرعي". برز أحد الامتدادات من خلال امتلاك نفس "copypasta" حوالي 5 مرات ، من تأليف مستخدمين مختلفين ، ومشاركة مقدمة حول ماهية Bitcoin وشرح سبب كون MyEtherWallet [الخبيث] هو امتداد المتصفح المفضل لديهم (ملاحظة: MEW لا يدعم Bitcoin ).
كانت هناك أيضًا شبكة من المستخدمين اليقظين الذين كتبوا مراجعات مشروعة حول كون الإضافات ضارة - ومع ذلك ، من الصعب تحديد ما إذا كانوا ضحايا عمليات التصيد الاحتيالي بأنفسهم ، أو مجرد مساعدة المجتمع على عدم التنزيل.
يحتوي Google Webstore على قسم للتقارير ومع تقاريرنا وبمساعدة فيشفورت، تمت إزالة الإضافات في غضون 24 ساعة.
يشير تحليل من مجموعة البيانات الخاصة بنا إلى أن الامتدادات الخبيثة بدأت في الوصول إلى المتجر ببطء في فبراير 2020 ، وزادت الإصدارات حتى مارس 2020 ، ثم أصدرت المزيد من الامتدادات بسرعة في أبريل 2020.
- 2020 فبراير: تم نشر 2.04٪ في هذا الشهر من مجموعة البيانات الخاصة بنا
- 2020 مارس: تم نشر 34.69٪ في هذا الشهر من مجموعة البيانات الخاصة بنا
- أبريل شنومكس: تم نشر 63.26٪ في هذا الشهر من مجموعة البيانات الخاصة بنا
هذا يعني أن اكتشافنا يتحسن كثيرًا ، أو أن عدد الإضافات الضارة التي تصيب متاجر المتصفح لاستهداف مستخدمي العملات المشفرة هو تنمو باطراد.
يشير تحليل من مجموعة البيانات الخاصة بنا إلى أن ليدجر هي العلامة التجارية الأكثر استهدافًا - دون التكهن ، من الصعب تحديد السبب.
- دفتر الحسابات - 57٪ من امتدادات المستعرضات الضارة في مجموعة البيانات الخاصة بنا
- MyEtherWallet - 22٪ من امتدادات المستعرضات الضارة في مجموعة البيانات الخاصة بنا
- خزانة - 8٪ من امتدادات المستعرضات الضارة في مجموعة البيانات الخاصة بنا
- إلكتروم - 4٪ من امتدادات المستعرضات الضارة في مجموعة البيانات الخاصة بنا
- KeepKey - 4٪ من امتدادات المستعرضات الضارة في مجموعة البيانات الخاصة بنا
- Jaxx - 2٪ من امتدادات المستعرضات الضارة في مجموعة البيانات الخاصة بنا
أين ذهبت الأموال المسروقة؟
لقد أرسلنا الأموال إلى عدد قليل من العناوين وأرسلنا أسرار الامتدادات الضارة. ومع ذلك ، لم يتم مسحها تلقائيًا. قد يكون هذا لسببين:
- لا يهتم الفاعلون السيئون إلا بالحسابات عالية القيمة
- يتعين على الجهات السيئة مسح الحسابات يدويًا
على الرغم من أن عناويننا لم يتم مسحها ، كانت هناك تقارير عامة من المستخدمين حول فقدان الأموال لامتدادات المستعرضات الضارة:
إذا كنت تشك في وقوعك ضحية امتداد متصفح ضار ، فيرجى تقديم بلاغ على https://cryptoscamdb.org/report/.
كيف يمكنني البقاء بأمان؟
في حين أن هناك العديد من نواقل الهجوم المختلفة لمستخدمي العملات المشفرة يوميًا والتي لا تقتصر على ملحقات المستعرضات الضارة ، فإن ما يلي سوف يعالج فقط ملحقات المستعرض الضارة.
أنا مستخدم يومي للعملات المشفرة.
- تعرف على الأذونات التي يتمتع بها كل امتداد من ملحقات المتصفح بالانتقال إلى
chrome://extensions/والنقر فوق علامة التبويب "التفاصيل" لكل ملحق. - افهم المخاطر المرتبطة بكل إذن.
- ضع في اعتبارك إزالة الامتداد إذا كان لديه أذونات تشعر أنها خارج نطاق استخدام الامتداد.
- تقييد الامتدادات للتنفيذ فقط بعض المجالات أو عند النقر فوق رمز الامتداد في الزاوية العلوية اليمنى من المتصفح.
- اقرأ: مضاد تشفير وهمي يستهدف نطاقات MyEtherWallet [.] com و Blockchain [.] com - https://medium.com/mycrypto/hunting-huobi-scams-662256d76720.
- اقرأ: امتداد استرداد نقدي وهمي يستهدف عمليات تبادل العملات المشفرة الشائعة - https://medium.com/mycrypto/the-dangers-of-malicious-browser-extensions-ef9c10f0128f.
- ضع في اعتبارك إنشاء مستخدم مستعرض منفصل تستخدمه فقط لبيانات العملة المشفرة - سيؤدي ذلك إلى تقييد نطاق سطح الهجوم وفصل المخاوف (الملفات الشخصية الشخصية وملفات تعريف العملة المشفرة) ، مما يزيد من الخصوصية المتعلقة بملف تعريف العملة المشفرة الخاص بك.
أنا فريق / شركة أقدم حلًا للمستخدمين العاديين.
- ضع في اعتبارك مراقبة مخازن ملحقات المتصفح إذا كان منتجك يفي بالمعايير التي رأيناها مستهدفة - عن طريق استخدام المراقبة الداخلية أو الشراكة مع جهة خارجية تقوم بالتحقيق في هذه الملحقات وإزالتها نيابة عنك.
- تذكير المستخدمين وإجبارهم على البقاء بأمان مع أسرارهم.
- استنكر استخدام الأسرار الخام (عبارات ذاكري وملفات تخزين المفاتيح والمفاتيح الخاصة) مع منتجك وعزز آليات التوقيع الأخرى.
- قم بإنشاء قائمة عامة لجميع المنتجات والروابط الخاصة بك حتى يكون لدى المستخدمين مصدر موثوق للمعلومات الموثوقة.
معرّفات الإضافات:
afephhbbcdlgdehhddfnehfndnkfbgnm
agfjbfkpehcnceblmdahjaejpnnnkjdn
أهيكدو
ahlfiinafajfmciaajgophipcfholmeh
akglkgdigmkilkhejagginkngocbpbj
anihmmejabpaoccmeodiapbhpholaom
bhkcgfbaokmhglgipbppoobmoblcomhh
bkanfnnhokogflpnhnbfjdhbjdlgncdi
bpfdhglfmfepjhgnhnmclbfiknjnfblb
bpklfenmjhcjlocdicfadpfppcgojfjp
ككلهيجيلملمنالجمجبيجفوبكمفكوعه
dbcfhcelmjepboabieglhjejeolaopdl
dbcfokmgampdedgcefjahloodbgakkpl
ddohdfnenhipnhnbbfifknnhaomihcip
dehindejipifeaikcgbkdijgkbjliojc
dkhcmjfipgoapjamnngolidbcakpdhgf
افجوبودهمكبجفبجكدابفنجلنفاخب
egpnofbhgafhbkapdhedimohmainbiio
ehlgimmlmmcocemjadeafmohiplmgmei
epphnioigompfjaknnaokghgcncnjfbe
gbbpilgcdcmfppjkdociebhmcnbfbmod
glmbceclkhkaebcadgmbcjihllcnpmjh
gpffceikmehgifkjjginoibpceadefih
idnelecdpebmbpnmambnpcjogingdfco
ifceimlckdanenfkfoomccpcpemphlbg
اذامكفويجذاجودجفواجببيجممنكم
igkljanmhbnhedgkmgpkcgpjmociceim
ijhakgidfnlallpobldpbhandllbeobg
ijohicfhndicpnmkaldafhbecijhdikd
jbfponbaiamgjmfpfghcjjhddjdjdpna
jfamimfejiccpbnghhjfcibhkgblmiml
jlaaidmjgpgfkhehcljmeckhlaibgaol
kjnmimfgphmcppjhombdhhegpjphpiol
lfaahmcgahoalphllknbfckggddoffj
mcbcknmlpfkbpogpnfcimfgdmchmmg
mciddpldhpdpibckghnaoidpolnmighk
mjbimaghobnkobfefccnnnjedoefbafl
mnbhnjecaofgddbldmppbbdlokappkgk
nicmhgecboifljcnbbjlajbpagmhcclp
njhfmnfcoffkdjbgpannpgifnbgdihkl
noilkpnilphojpjaimfcnldblelgllaa
obcfoaeoidokjbaokikamaljlpebofe
oejafikjmfmejaafjjkoeejjpdfkdkpc
ogaclpidpghafcnbchgpbigfegdbdikj
opmelhjohnmenjibglddlpmbpbocohck
pbilbjpkfbfbackdcejdmhdfgeldakkn
pcmdfnnipgpilomfclbnjpbdnmbcgjaf
Pedokobimilhjemibclahcelgedmkgei
plnlhldekkpgnngfdbdhocnjfplgnekg
C2s:
http://ledgerwallet.xyz/api.php
https://v1.ledgers.tech
https://coinomibeta.online/post/connexion.php
https://completssl.com/functions.php
https://completssl.com/ssnd_1.php
https://completssl.com/ssnd_el.php
https://completssl.com/ssnd_ex.php
https://completssl.com/ssnd_t.php
https://cxext.org/6721e14f0257a64f1f0a9114197d59ba/
https://docs.google.com/forms/d/1PXmiKeuYFdNS8D1q5yU1Cb7_9TwZQMbMCTl2PfSYhLI/formResponse
https://docs.google.com/forms/d/e/1FAIpQLSc1DTYAqXYnGTaUH0AIJa-rC2lk7V5nsE6tEdGIKXTKNm36HQ/formResponse
https://docs.google.com/forms/d/e/1FAIpQLScuQg9Rpct1ahMotYT12xBAt3MmcubQg-duV1a0BZ_vo1Tj4g/formResponse
https://ledger.productions/api_v1/
https://mecxanalytic.co/api_keystore.php
https://mecxanalytic.co/api_mnemonic.php
https://mecxanalytic.co/api_private.php
https://trxsecuredapi.co/api_ledger.php
https://usermetrica.org/api_v1/
http://vh368451.eurodir.ru/api/v1/
https://walletbalance.org/api_v1/
ws: //analytics-server296.xyz: 4367
