Google i Twitter reklame promovišu web stranice koje sadrže  ‘MS Drainer’ malver, alat za krađu kriptovaluta koji je već ukrao 59 miliona dolara od 63.210 žrtava u proteklih devet mjeseci

 

Žrtve se dovode na fišing stranice koje sadrže MS Drainer malver klikom na Google i X oglase koji se prikazuju za ključne riječi povezane sa kripto platformama kao što su Zapper, Lido, Stargate, Defillama, Orbiter Finance i Radiant.

Napadači koriste nekoliko tehnika da zaobiđu provjere oglasa, kao što je ciljanje samo određenih regiona i preusmeravanja drugih korisnika koji nisu u ciljanim regionima na legitimne veb sajtove.

Od marta je primjećeno oko 10.000 fišing sajtova koji koriste crypto drainer. Oko 60% fišing oglasa na X-u vodi korisnike do malvera dizajniranog da ukrade virtuelnu valutu.

Izvorni kod za MS Drainer sajber kriminalcima prodaje za 1500 dolara korisnik po imenu ‘Pakulichev’ ili ‘PhishLab’, koji naplaćuje naknadu od 20% na sva sredstva ukradena pomoću malvera. PhishLab takođe prodaje dodatne module koji dodaju nove funkcije malveru, a koštaju između 500 i 1.000 dolara.

Na X-u, reklame za MS Drainer su toliko česte da ScamSniffer izvještava da čine šest od devet fišing oglasa na njihovom feed-u.

Mnoge reklame na X-u postavljaju se sa legitimnih „verifikovanih“ naloga, piše BleepingComputer.

 

 

Metoda zaobilaženja detekcije

 

Istraživač MalwareHunterTeam-a, koji je pratio ovakve reklame, kaže da su vlasnici naloga na X-u možda bili zaraženi malverom koji je ukrao kolačiće ili lozinke, što je omogućilo napadačima da kreiraju oglase sa hakovanih naloga. Istraživač je razgovarao sa vlasnikom jednog X naloga koji je reklamirao prevaru sa kriptovalutama i rečeno mu je da na njihovim reklamnim nalozima nema traga od oglasa.

Na X-u, sajber-kriminalci su koristili više tema za svoje oglase, uključujući i onu pod nazivom „Ordinals Bubbles,“ koji je promovisao navodno ograničeno izdanje NFT (nezamjenjivi token) kolekciju sa različitim likovima u mjehurićima.

Oglasi su takođe promovisali NFT airdrops i nova lansiranja tokena na web-lokacijama koje sadrže drainer.

ScamSniffer kaže da je jedna metoda zaobilaženja detekcije koju koriste ovi oglasi geofencing, koji cilja samo korisnike iz unaprijed definisanih regija, a ostatak preusmjerava na legitimne/bezopasne web stranice.

Prevare sa kriptovalutama su uvijek imale dobre rezultate na X-u, ali sa pouzdanim, hakovanim nalozima koji sada prikazuju reklame koje promovišu zlonamerne sajtove, ova vrsta napada mogla bi postati još uspješnija.

Korisnici bi trebalo da budu veoma oprezni kada vide oglase u vezi sa kriptovalutama i da obrate pažnju prije nego što se prijave na nove platforme, a još više prije nego što povežu svoje novčanike.