Хакер #305. Многошаговые SQL-инъекции
На прошлой неделе специалисты платформы MyCrypto наткнулись на подозрительный сайт, который конвертировал биткоин-адреса в QR-коды.
Хотя существует немало подобных сервисов, исследователи быстро поняли, что данный сайт вредоносный. Так, вместо преобразования введенного биткоин-адреса в его эквивалент QR-кода, сайт всегда генерирует один и тот же QR-код для кошелька мошенника. То есть если пользователь поделится таким QR-кодом с другим человеком или разместит его на своем сайте для сбора пожертвований, все деньги в итоге будут перечисляться на адрес преступника.
Вскоре исследователи сумели выявить еще восемь аналогичных сайтов с одинаковым интерфейсом. Это позволяет предположить, что все ресурсы были созданы одним и тем же мошенником. Фальшивые генераторы QR-кодов находят по адресам:
• bitcoin-barcode-generator.com;
• bitcoinaddresstoqrcode.com;
• bitcoins-qr-code.com;
• btc-to-qr.com;
• create-bitcoin-qr-code.com;
• free-bitcoin-qr-codes.com;
• freebitcoinqrcodes.com;
• qr-code-bitcoin.com;
• qrcodebtc.com.
Эти девять сайтов генерируют QR-коды для пяти разных биткоин-адресов. По данным специалистов MyCrypto, на эти кошельки уже былом перечислено более 7 BTC (45 000 по текущему курсу). И, скорее всего, это были средства обманутых пользователей.
Используя PassiveTotal, платформу для анализа угроз от RiskIQ, исследователи смогли проследить вредоносные сайты до трех веб-серверов. Также при помощи PassiveTotal, удалось понять, что на этих серверах размещено еще более 450 других сайтов, все с подозрительными доменами, содержащими такие ключевые слова, как «Gmail», «коронавирус» и различные бренды, в основном связанные с криптовалютой.
- 244.100.245 (список размещенных доменов);
- 244.100.241 (список размещенных доменов);
- 244.100.244 (список размещенных доменов).
Большинство сайтов, размещенных на этих веб-серверах, неактивны и просто содержат рекламу криптовалютных игорных сайтов, где пользователи могут сделать ставку, ради шанса выиграть больший приз. Такие сайты в целом рассматриваются как мошеннические, так как они, как правило, сохраняют все ставки, но не выплачивают игрокам никаких выигрышей.
Также на веб-серверах размещены так называемые акселераторы биткоин-транзакций. Сайты такого рода просят пользователей ввести идентификатор транзакции и обещают «ускорить» процесс ее утверждения в блокчейне. Это ресурсы:
- bitcoin-transaction-accelerator.com;
- transaction-accelerator.com;
- bitcoin-tx-transaction-accelerator.com;
- viabtc-transaction-accelerator.com.
Все найденные сайты запрашивают плату в размере 0,001 BTC (около 6,5 долларов США). По словам исследователей, суммарно на указанные на этих ресурсах адреса было переведено 17,6 BTC, то есть примерно 117 000 долларов. Эксперты отмечают, что им не удалось понять, где рекламировались данные акселераторы, и как они заработали столько денег.