Підприємець із Сінгапуру втратив весь крипто-портфель після завантаження підробленої гри

Коротко

• Людина з Сінгапуру втратила весь свій крипто-портфель після того, як стала жертвою складної шахрайської схеми з фальшивою онлайн-грою.
• Незважаючи на використання антивірусного програмного забезпечення та видалення підозрілих файлів, завантажене шкідливе програмне забезпечення змогло викрасти токени та використати баг у Google Chrome для крадіжки понад $14,000 у криптовалюті.
• Чоловік радить іншим особам, зокрема розробникам та інвесторам, видаляти seed-фрази з браузерних гарячих гаманців, коли вони не використовуються.

Центр мистецтва, моди та розваг Decrypt.

Відкрийте SCENE

Підприємець з Сінгапуру втратив шістизначну суму в криптовалюті після того, як став жертвою шкідливого програмного забезпечення, замаскованого під складну схему тестування ігор.

Марк Ко, засновник організації підтримки жертв RektSurvivor, детально описав свій досвід у інтерв’ю з Lianhe Zaobao та у пості на LinkedIn.

Обидва джерела повідомляють, що 5 грудня Ко натрапив на можливість бета-тестування в Telegram для онлайн-гри під назвою MetaToy.

Ко, який інвестував і оцінював численні проєкти Web3, був переконаний, що гра MetaToy є легітимною, базуючись на професійному вигляді її сайту та Discord, а також на швидкій реакції членів команди.

Однак Ко повідомляє, що завантаження лаунчера гри MetaToy призвело до завантаження шкідливого програмного забезпечення на його комп’ютер.

Його антивірус Norton виявив підозрлу активність на ПК, і Ко зробив повне сканування системи, видалив підозрілі файли та реєстри, а також навіть переустановив Windows 11.

Проте, протягом 24 годин після цього, всі його програмні гаманці, підключені до розширень браузерів Rabby та Phantom, були очищені від усіх доступних коштів, що склало $14,189 (100 000 юанів) у криптовалюті, яку він накопичував понад вісім років.

“Я навіть не входив у свій гаманець через додаток. У мене були окремі seed-фрази. Нічого не зберігалося в цифровому вигляді,” — розповів він Decrypt.

Ко також повідомляє Decrypt, що атака, ймовірно, була комбінацією крадіжки токенів аутентифікації та вразливості нульового дня у Google Chrome, яка була вперше виявлена у вересні і може дозволити виконання шкідливого коду.

Він також підкреслює, що експлойт, ймовірно, мав кілька векторів атаки, враховуючи, що він сканував усі ідентифіковані підозрілі файли і його Norton зміг заблокувати дві спроби перехоплення DLL (динамічна бібліотека).

“Тому він мав кілька векторів і також вставив шкідливий запланований процес,” — додав він.

У світлі цієї, здавалося б, складної атаки, Ко рекомендує потенційним цільовим особам — особливо ангельським інвесторам або розробникам, які ймовірно завантажують бета-лаунчери — вживати додаткових заходів безпеки.

“Тому я б радив навіть при дотриманні звичайних заходів обережності видаляти та знищувати seed-фрази з браузерних гарячих гаманців, коли вони не використовуються,” — сказав він. “І, якщо можливо, використовувати приватний ключ, а не seed, оскільки тоді всі інші похідні гаманці не будуть під ризиком.”

Ко повідомив про шахрайство поліцію Сінгапуру, яка підтвердила газеті Lianhe Zaobao китайською мовою, що отримала відповідний звіт.

Засновник RektSurvivor також зв’язав Decrypt з Деніелом, ще одним жертвою експлойту MetaToy, який також був у Сінгапурі.

Інша жертва повідомила Decrypt, що він досі підтримує контакт із шахраєм, який був під враженням, що він, Деніел, все ще намагається завантажити лаунчер гри.

Експлойт MetaToy з’являється на тлі все більш складних методів, які використовують кіберзлочинці для зараження комп’ютерів шкідливим програмним забезпеченням.

У жовтні McAfee виявила, що хакери використовують репозиторії GitHub для підключення свого банківського шкідливого ПЗ до нових серверів кожного разу, коли попередній сервер знімається з експлуатації.

Аналогічно, цього року спостерігалося використання фальшивих інструментів штучного інтелекту, спрямованих на поширення крадіжки криптовалюти, а також використання фальшивих Captchas і зловмисних pull-запитів, вставлених у розширення Ethereum.