Издание The Record сообщает, что в последние дни многие создатели невзаимозаменяемых токенов (NFT) пострадали от таргетированных атак неизвестных злоумышленников, которые обманом заставляли художников загрузить и запустить малварь.
Журналисты пишут, что атаки начались на прошлой неделе и продолжались в течение выходных. В Twitter на проблемы пожаловались многие создатели NFT, обнаружившие кражу криптовалютных активов из своих личных кошельков. Некоторые из этих жалоб можно увидеть ниже.
Be really careful out there I was dumb enough to not overlook this and open their SCR file and got my metamask swiped from à to Z all my tokens gone. They tried to access other app but my 2fa blocked them to. I’m an idiot don’t me an idiot like me and secure your shit. pic.twitter.com/gAins00taH
— FVCKRENDER (@fvckrender) June 11, 2021
Really terrible day. My Metamask got hacked and now my @withFND account is compromised. Opened a scam project proposal with a .scr file and a Microsoft Word icon. Anyone experience this before? Trying to figure out what to do
— Nicole Ruggiero (@_NicoleRuggiero) June 11, 2021
WARNING TO ALL ARTISTS
— Cloudy Night ☁️ (@CloudyNight_k) June 11, 2021
Got a DM from "John Billmate" claiming to be "Responsible for distribution of photo editor" from @SkylumSoftware
DO NOT OPEN ANY LINKS FROM THIS PERSON. This is a scam, and if you got this DM, or get a dm in the future, block it. #NFTCommunity #skylum pic.twitter.com/yQv68bRIjW
Well, I managed to get a copy of a ZIP file that some scammers are sending via WeTransfer after contacting you via DM here on Twitter, trying to pass as some CEO's from a new NFT platform.
— ? ArielBeckerArt.eth #SquidGang ? (@arielbeckerart) June 9, 2021
These are the contents of one of those ZIP. The first file is an executable (.SCR). pic.twitter.com/woXkPJjc1U
Судя по всему, злоумышленники использовали несколько учетных записей, чтобы выйти на контакт с пользователям Twitter, которые рекламировали себя как авторов NFT. Под видом коммерческого предложения мошенники обманом заставляли их загрузить и запустить файл с вредоносным ПО, обычно замаскированным под файл скринсейвера Windows (.SCR).
Один из таких вредоносных .SCR изучил ИБ-эксперт Барт Блейз. Он сообщает, что файлы были настроены для временной установки малвари Redline на компьютеры жертв. И хотя у малвари отсутствовал механизм закрепления в системе, и она удалялась после первой же перезагрузки, Redline работала очень быстро. В сущности, вредоносу требовалось всего несколько минут, чтобы собрать и похитить личные данные пользователей (включая учетные данные из браузера, файлы конфигурации криптовалютых кошельков, а также данные браузерных расширений-кошельков)
Журналисты The Record выяснили, что некоторые из этих атак оказались успешными. Например, злоумышленникам удалось украсть более 40 000 токенов AXS (около 176 000 долларов) у одной жертвы. Другие пострадавшие лишись меньших сумм. К примеру, Николь Руджеро , 3D-художник и режиссер, говорит, что потеряла «немного ETH», прежде чем обнаружила кражу и попыталась заблокировать свои учетные записи.
Фотограф из Южной Кореи, Чон Чан Хан, стал один из счастливчиков, кому удалось вовремя заметить атаку. Он призывает всех сохранять бдительность и говорит, что обратил внимание на весьма простые тревожные сигналы: низкое количество подписчиков у злоумышленника, отсутствие профиля LinkedIn или Linktree, желание мошенника напрямую платить в ETH, без оформления документов, а также просьбу установить какое-то приложение.
Нужно отметить, что это не первые направленные атаки на создателей и покупателей NFT. Весной текущего года пользователи Nifty Gateway, торговой площадки для покупки и продажи невзаимозаменяемых токенов, принадлежащий Gemini, массово жаловались в социальных сетях на взлом своих учетных записей.
