Новая волна целевых атак использует сложные схемы с имитацией криптовалютных платформ и интерактивными чат-ботами для выманивания средств у пользователей. Согласно данным экспертов по кибербезопасности, злоумышленники рассылают электронные письма с криптовалютной тематикой, содержащие ссылки на поддельные страницы, имитирующие легитимные платформы для работы с цифровыми активами. При этом аналогичная активность может наблюдаться и в трафике, генерируемом через веб-браузинг во время обычного серфинга в интернете.
Описание
Особенностью данной мошеннической схемы является многоэтапный сценарий, включающий взаимодействие с фиктивным чат-ботом, который позиционируется как специалист службы поддержки или финансовый консультант. Как отмечают аналитики, для успешного завершения атаки требуется значительное вовлечение самой жертвы, что отличает данную схему от традиционных фишинговых атак.
Техническая реализация кампании основана на злоупотреблении публичными платформами для размещения контента, такими как telegra[.]ph и graph[.]org. Эти ресурсы позволяют любому пользователю быстро публиковать простые веб-страницы без необходимости сложной настройки или верификации. Мошенники активно используют эту возможность для создания промежуточных страниц, которые перенаправляют пользователей на вредоносный контент.
В качестве конкретного примера исследователи приводят активную схему на основе URL-адреса graph[.]org, которая имитирует официальную платформу Binance - одну из крупнейших в мире криптовалютных бирж. В данном сценарии пользователям предлагается принять участие в якобы раздаче криптовалюты, однако для получения предполагаемого вознаграждения требуется предварительно оплатить налог. Сумма этого фиктивного налогового сбора должна быть переведена на контролируемый злоумышленниками Bitcoin-адрес.
Многоступенчатый характер атаки начинается с первоначального контакта через электронную почту или рекламное объявление, после чего пользователь попадает на поддельную страницу, стилизованную под известную криптоплатформу. Далее следует этап взаимодействия с чат-ботом, который убеждает жертву в легитимности предложения и необходимости совершения предварительного платежа. Интерактивный характер общения с ботами создает иллюзию профессионального обслуживания и повышает доверие пользователей.
Эксперты подчеркивают, что подобные схемы требуют от злоумышленников значительных усилий по организации и поддержанию инфраструктуры, однако потенциальная прибыль от успешных атак делает такие кампании экономически целесообразными для киберпреступников. Использование публичных платформ для хостинга позволяет мошенникам быстро развертывать и заменять компоненты атаки в случае их блокировки.
Для защиты от подобных угроз специалисты рекомендуют пользователям критически оценивать любые предложения, связанные с криптовалютными операциями, особенно те, которые требуют предварительных платежей. Важно проверять подлинность веб-адресов и избегать перехода по ссылкам из непроверенных источников. Легитимные криптовалютные платформы никогда не требуют оплаты налогов или комиссий через прямые переводы на частные Bitcoin-адреса.
Растущая сложность мошеннических схем демонстрирует необходимость постоянного повышения осведомленности пользователей о современных киберугрозах. Организации, работающие в сфере криптовалют, также должны усиливать меры по информированию своих клиентов о типичных тактиках злоумышленников и способах идентификации поддельных ресурсов.
Индикаторы компрометации
Domains
- bimaster.cc
- gubezand.cc
- rolastopas.cc
- s-ua.eu.org
URLs
- http://url4859.tigerfxtrading.com/ls/click?upn=u001.j-2FIpOj1FMyDJkJ8qqBChG8A4on-2FqLR8TD5PAisRYpEcnLxjBJ6F-2Bpo-2ByRAHwDrNA0UAm8RV4J-2BO17n8MkQFuNA-3D-3D75-u_S8t0Rflk5E9Ko5gJ9ADZJdppnIrBKLa5vWBEleQ2nZefjr-2FNE-2BTDAbSpnCg075THrsMDgsH69IWSP8P04pe6-2FsaSx5cpsuUbeJh17a8mnQVzn6LtMmJcBJzUvSL-2B6oBSX-2B5czHp-2FPZsMUrApNilWZvJT2by6r9Wt40KPwaeAzM1cc7byn5A-2BJG2HxrrlPBdgQ-2BLu8DYa6tsyk0iCPnYeLw-3D-3D
- http://url6235.managers.org.uk/ls/click?upn=u001.3BZDjnvGnr5Wno7JOg7on8EOySPT9TY8mJd-2F0UjkXdid-2FK3PUC-2B2iixCAi6XTTn3QMNclb47zXmEDjLaKCpNNiziaFZzBi1rg2U9zfU5AzkYhw9sXqjkFYTYEqlWITGQ_rIL_5Y9C-2B-2Fzbmi1Z8AZ1P0Xb4-2FmIpGb6zjcgTuxQl5Yu3UUhI2W32NMcEOnjL8REc2NWU4U2-2FXglCNZdkqnA0I4Soj0ad9qYKgZgvd24hH2Z2ktmE0D1eblwt1QVVtnghv8Q2Imh3uyqL54-2F-2BUt1BHkaSUithQ4AjBPocVo90eiYT579sFT3BZMhMla4-2FznwOloNKFJg-2FLfexqoe0SQGCmyrzA-3D-3D
- https://bimaster.cc/payform/y2b403/33f4/33d4v2/?csrf=d1e34
- https://goprox.cc/go/y2b403/33f4
- https://graph.org/ACCESS-CRYPTO-REWARDS-07-23?hs=99fa83af6bbd4efc6881a8c3fecb0330&
- https://graph.org/Get-your-BTC-09-04
- https://graph.org/Get-your-BTC-09-04?[string]
- https://graph.org/Payout-from-Blockchaincom-06-26?f4p
- https://telegra.ph/2CydA3vPY0-10-29
- https://telegra.ph/BITCOIN-01-08-15?251429873
- https://telegra.ph/BTC-Transaction--56762-06-24?29cu7
- https://telegra.ph/Information-No-qNoc2UICi-09-12
- https://u48600742.ct.sendgrid.net/ls/click?upn=u001.8seWY2EqxIVTf6dw3MN7exC1Xub2SiAQdl1Odaz-2Fefw4sW8Jc-2FQAlz7-2BLuKJJLp3bSj0NSFDSNDTbDgfgPYH2jBi8kW1qPzDQnn5Xf0n5dJDc7hedDn1HmZ-2FgU9xuJnjFeDT_-2BfvDFm8rLlMG3DiFVwLpkqbHTWMtv41fThUO2OgTksEHc0YULMl1RWuaflipuZTX4b4M5ts66MtBl-2FNP-2BJllc-2BWMsbcg7smuxpQ47pNKCQShi3iYzgZDGQe0lkOL-2BH0tD6BWPlVhwAtvJFSuf5AmC8H3wjXrDAVGiTZojUCxuqpZ81XvJ4KUn3TgIYiBaMJRWfo5J9YhCD-2BwFgCScSKG9Q-3D-3D
Bitcoin address
- bc1qf5x4jag30mzny7nvthapnefrhf5qx6j0w7a2cs
