Самый крупный фишинг декады и другие эксплойты
Атака на пользователей Hedera
26 июня было взломано маркетинговое электронное письмо Hedera: злоумышленник рассылал фишинговые электронные письма подписчикам команды. Hedera является разработчиком Hedera Hashgraph, сети блокчейнов с доказательством доли, запущенной в 2018 году.
Команда признала факт взлома в сообщении на X и предупредила пользователей не взаимодействовать с какими-либо ссылками в электронных письмах от Marketing@hedera, написав:
“Электронная почта Marketing@hedera была скомпрометирована. Не открывайте электронные письма или ссылки с этого адреса. Скоро мы предоставим более подробную информацию”.
Фишинг — это метод, при котором злоумышленник выдает себя за доверенный источник и убеждает пользователя выдать информацию или выполнить действие, которого желает злоумышленник. В данном случае злоумышленник использовал скомпрометированную электронную почту Hedera, чтобы выдать себя за представителя команды разработчиков.
Команда пока не раскрыла содержание фишинговых писем. Однако большинство криптофишинговых писем предлагают пользователю заманчивое вознаграждение, например, раздачу токенов, если он нажмет на ссылку, чтобы перейти на поддельный веб-сайт злоумышленника, который часто выглядит как источник, которому доверяют. Когда пользователь подключается к веб-сайту со своим кошельком, ему предлагается авторизовать одобрение токена для получения аирдропа.
Но вместо того, чтобы позволить пользователю получить аирдроп, эти разрешения позволяют злоумышленнику опустошить кошелек пользователя. Пользователям следует проявлять особую осторожность при переходе по ссылкам в электронных письмах, даже если те исходят из надежного источника. Как показывает пример Hedera, даже доверенные адреса электронной почты могут быть взломаны или подделаны.
Команда Hedera пообещала в ближайшее время предоставить более подробную информацию. Пока неизвестно, сколько криптовалюты было потеряно из-за фишинговых писем на момент публикации.
Уязвимость программы передачи файлов MoveIt исправлена
Согласно официальному бюллетеню команды разработчиков программного обеспечения, исследователи безопасности обнаружили критическую уязвимость в программном обеспечении для передачи файлов MoveIt, разработанном Progress. Однако в текущей версии уязвимость исправлена.
Некоторые крупные компании используют MoveIt Transfer для передачи файлов между сотрудниками. Эти файлы могут содержать данные клиентов, закрытые ключи или другую конфиденциальную информацию. Согласно отчету компании по кибербезопасности Watchtower Labs, эта уязвимость позволяла злоумышленнику выдавать себя за любого пользователя в корпоративной сети, если злоумышленник знал имя пользователя.
Для проведения атаки хакеру необходимо было предоставить серверу имя пользователя. В ответ сервер запросит закрытый ключ пользователя. Но вместо того, чтобы создавать настоящий ключ (о котором злоумышленник, предположительно, не будет знать), они могут указать путь к файлу, содержащий поддельный ключ, который они сгенерировали сами.
Из-за особенностей того, как программное обеспечение MoveIt обрабатывало эту ситуацию, оно создавало пустую строку в качестве открытого ключа. В результате аутентификация могла оказаться неудачной. Однако Watchtower обнаружила, что, хотя аутентификация выдает сообщение об ошибке и, похоже, завершается неудачей, важнейшая переменная «код состояния», используемая для блокировки недействительных пользователей, будет относиться к злоумышленнику так, как если бы он прошел правильную аутентификацию.
В результате злоумышленник сможет получить доступ к любым файлам, к которым может получить доступ реальный пользователь, что позволит ему получить конфиденциальные данные клиента или заказчика.
Компания Progress устранила уязвимость 25 июня. Однако некоторые компании, возможно, еще не обновились до последней версии. Разработчик заявил:
«Мы настоятельно рекомендуем всем клиентам MOVEit Transfer версий 2023.0, 2023.1 и 2024.0 немедленно обновиться до последней исправленной версии».
Компания заявила, что MoveIt Cloud не подвержена уязвимости, поскольку она уже исправлена.
Адресная атака с отравлением
Компания Cyvers, занимающаяся безопасностью блокчейнов, обнаружила 28 июня крупную атаку по отравлению адресов. Жертва потеряла USDT на сумму более 70 000 долларов США.
“ТРЕВОГА! Наша система на базе искусственного интеллекта обнаружила атаку по отравлению адресов. Злоумышленник инициировал подозрительную транзакцию два дня назад. К сожалению, 23 часа назад жертва по ошибке отправила мошеннику 70 тысяч долларов США”, — сообщила Cyvers 28 июня.
Атака началась 25 июня, когда жертва перевела 10 000 долларов США на депозитный адрес Binance, который начинался с «0xFd0C0318» и заканчивался «1630C11B».
Вскоре после этого злоумышленник отправил 10 000 фальшивых долларов США со счета жертвы на счет, находящийся под контролем злоумышленника. Эта передача не была авторизована жертвой, но поскольку поддельный токен содержал вредоносную функцию передачи, она прошла успешно.
Адрес, на который были отправлены эти поддельные токены, начинался с «0xFd0Cc46B» и заканчивался на «6430c11B», содержащий те же первые шесть и последние четыре символа, что и адрес депозита Binance жертвы. Злоумышленник, вероятно, использовал генератор адресов, чтобы создать этот похожий адрес.
Через два дня, 27 июня, жертва отправила на этот вредоносный адрес 70 000 долларов США. Жертва, вероятно, вырезала и вставила адрес из своей истории транзакций, намереваясь перевести средства на Binance. Однако Binance так и не получила средства, и теперь они находятся в руках злоумышленника.
Команда разработчиков Tether может заморозить адреса кошельков, на которых хранятся USDT. Однако обычно они замораживают адрес только после запроса правоохранительных органов. На момент публикации этот кошелек все еще хранит USDT и еще не обменял его на другие токены, поэтому возможно, уже произошло замораживание. Если адрес еще не заморожен, еще есть время подать жалобу, и жертва еще может получить свои средства обратно.
Однако также возможно, что злоумышленник сможет обменять USDT на Ether или другие криптовалюты до того, как адрес будет заморожен, и в этом случае вернуть средства будет гораздо сложнее.
Пользователи криптовалюты должны знать, что некоторые приложения-кошельки загружают историю транзакций непосредственно из блокчейна. В результате они иногда показывают транзакции как совершенные пользователем, хотя на самом деле они принадлежат третьей стороне. Пользователям рекомендуется проверять все символы адреса перед отправкой транзакции, а не только первый и последний символы.
К несчастью для этого пользователя, он, возможно, усвоил этот урок дорогой ценой, поскольку в результате этой ошибки он может стать беднее на 70 000 долларов.
Взлом криптобиржи BtcTurk
22 июня стамбульская биржа криптовалют BtcTurk была взломана с помощью украденного закрытого ключа. На следующий день биржа признала нападение. Согласно переводу Google, заявление частично гласило:
«Уважаемый пользователь, наши команды обнаружили, что 22 июня 2024 года на нашу платформу произошла кибератака, которая привела к неконтролируемым убыткам».
Биржа заявила, что атака была осуществлена только против ее горячих кошельков, а большая часть ее активов остается в безопасности, и что у нее достаточно «финансовых возможностей», чтобы возместить пользователям убытки, так что балансы клиентов не будут затронуты.
Фирма по кибербезопасности Halborn подсчитала, что BtcTurk потерял в результате атаки более 55 миллионов долларов.
По данным онлайн-сыщика ZackXBT, злоумышленник, вероятно, внес 1,96 миллиона AVAX (54,2 миллиона долларов США) на централизованные биржи Coinbase, Binance и Gate, которые впоследствии были обменены на биткоины, поскольку данные ончейна показывают, что почти эквивалентные стоимости BTC были переведены с этих бирж сразу после перевода AVAX.
AVAX упал на 10%, видимо, в результате этих обменов.
После атаки BtcTurk запустил новые горячие кошельки с закрытыми ключами, которые не находятся под контролем злоумышленника. Биржа настоятельно рекомендовала пользователям не использовать старые депозитные адреса, поскольку любые отправленные на них средства, скорее всего, будут украдены злоумышленником. Вместо этого пользователям следует внести депозит, используя новые адреса, найденные в интерфейсе приложения.
Комментарии
Комментарии для сайта Cackle
Интересно? Поделись с друзьями!