Интересный пример хакерской атаки на своих «коллег» обнаружили в очередной раз специалисты. Water Labbu компрометирует сайты скамеров-криптовалютчиков и подселяет им JavaScript. Этот вирус занимается кражей денег. Об этом рассказывает xakep.ru.
О схеме скамеров, задействующих dApp, предупреждали еще летом сотрудники ФБР. Скамеры работают от сервисов криптовалют, которые, якобы, специализируются на майнинге ликвидности. В реальности они воруют криптовалюту доверчивых граждан.
Специалисты Trend Micro выявили, что операторы dApp-ресурсов мошенников в итоге сами оказались на месте жертв других хакеров. Участники Water Labbu находят такие ресурсы и подселяет в них вирусные скрипты.
Специалисты пишут, что в одном из случаев хакеры, подселили тег IMG, позволяющий загрузить соответствующий скрипт. Это помогло им обойти фильтры XSS. В итоге был создан второй скрипт, а он, в свою очередь, подтянул с tmpmeta[.]com третий.
Последний скрипт занимается тем, что на сайтах мошенников отслеживает кошельки Ethereum и TetherUSD, которые были подключены недавно. После этого, он добывает их адрес и сумму средств. Если на кошельках есть более 22 000 USDT или 0,005 ETH, хакеры совершают атаку.
Затем скрипт выясняет, действительна цель на iOS, Android или Windows. Если это пользователь смартфона, ему отправляют сообщение с просьбой подтвердить операцию через ресурс dApp. В случае подтверждения скрипт снимает все средства с кошелька и направляет на адрес участника Water Labbu.
В случае с жертвами, работающими в Windows, на скомпрометированных ресурсах появляется уведомление о том, что нужно запустить обновление Flash Player. В действительности это бэкдор, который загружается с GitHub. Используется он, чтобы воровать cookie и криптовалюту.
Эксперты пояснили, что для пострадавших ничего не меняется. Они лишаются криптовалюты, просто попадает она к другим киберпреступникам. Специалисты предупреждают, что следует быть особо внимательным.