Aproape 2.000 de site-uri WordPress compromise afișează acum pop-up-uri false despre NFT-uri și reduceri pentru a păcăli vizitatorii să-și conecteze portofelele la cripto-drainers care fură automat fonduri.
Firma de securitate a site-urilor web Sucuri a dezvăluit luna trecută că hackerii au compromis aproximativ 1.000 de site-uri WordPress pentru a promova cripto-drainers, pe care le-au promovat prin intermediul reclamelor malware și videoclipurilor YouTube.
Se crede că actorii amenințării nu au avut succes cu campania lor originală și au început să implementeze scripturi noi pe site-urile compromise pentru a transforma browserele web ale vizitatorilor în instrumente pentru forțarea brută a parolelor de administrator la alte site-uri.
Aceste atacuri au implicat un grup de aproximativ 1.700 de site-uri cu forțare brută, inclusiv exemple importante precum site-ul Asociației Băncilor Private din Ecuador. Scopul era să construiască un număr suficient de site-uri pe care în cele din urmă să le poată monetiza într-o campanie mai extinsă.
Potrivit cercetătorului în securitate cibernetică MalwareHunterTeam, actorii amenințării au început acum să monetizeze grupul de site-uri pentru a afișa pop-up-uri care promovează oferte false NFT și reduceri cripto.
Deși nu se știe câte site-uri compromise afișează în prezent acești cripto-drainers, o căutare Urlscan arată că peste 2.000 de site-uri compromise au încărcat scripturi maligne în ultimele șapte zile.
Nu toate generează escrocherii cu pop-up-uri cripto în acest moment, dar acest lucru ar putea să se schimbe în orice moment.
Scripturile maligne sunt încărcate de pe domeniul dynamic-linx[.]com, care este același URL văzut de Sucuri luna trecută.
Acest script va verifica dacă există un anumit cookie („haw”), iar dacă nu există, injectează scripturi maligne în pagina web, așa cum se arată mai jos.
Codul malign afișează aleatoriu un pop-up promoțional, îndemnând victimele să-și conecteze portofelele pentru a emite un NFT promițător sau pentru a primi o reducere pe site.
BleepingComputer a testat mai multe site-uri care găzduiesc aceste scripturi și, deși inițial au fost unele probleme cu pop-up-urile care nu încercau să se conecteze la portofele, în cele din urmă au început să funcționeze din nou.
Când faceți clic pe butonul de conectare, scripturile vor afișa inițial suport nativ pentru portofelele MetaMask, Safe Wallet, Coinbase, Ledger și Trust Wallet. Cu toate acestea, acestea susțin și ‘WalletConnect’, care susține multe alte portofele, extinzând semnificativ domeniul de targetare.
Odată ce un vizitator conectează site-ul Web3 acum la portofelele lor, cripto-drainerul va fura toate fondurile și NFT-urile din cont și le va trimite actorilor amenințării.
Este important de menționat că MetaMask va afișa un avertisment când vizitați site-uri infectate cu aceste scripturi maligne.
Cripto-drainerii au devenit o problemă masivă pentru comunitatea cripto, cu actorii amenințării care sparg conturile X cunoscute și creează videoclipuri AI și reclame maligne pentru a promova site-uri care folosesc scripturi maligne.
Pentru a evita pierderea activelor dvs. digitale către operatorii de cripto-drainers și alte infracțiuni cibernetice, conectați-vă portofelul doar la platforme de încredere.
Indiferent de reputația stabilită a unui site web, este prudent să exercitați precauție cu ferestrele pop-up neașteptate, în special atunci când acestea nu se aliniază cu subiectul sau designul principal al unui site web.
Activision: Activarea autentificării cu doi factori pentru a securiza conturile recent furate de malware
Aplicația falsă de portofel din piele de pe Apple App Store este un cripto-drainer
Defect critic în modulul LayerSlider WordPress care afectează 1 milion de site-uri
KuCoin acuzat de încălcări AML care permit spălarea miliardelor de dolari de către infractori cibernetici
Sancțiuni ale SUA împotriva schimburilor de cripto folosite de piața darknet rusă, bănci
Leave a Reply