Российский злоумышленник приправляет разработчики игр с мошенническими игровыми проектами Web3, которые загружают несколько вариантов инфокрадов на устройства MacOS и Windows.
По данным Insikt Group из Recorded Future, которая обнаружила вредоносную деятельность, конечной целью кампании является обман жертв и кража их криптовалютных кошельков.
Обширная русскоязычная кампания имитирует законные проекты, используя небольшие изменения в названиях проектов и брендинге — вплоть до создания множества фейковых аккаунтов в социальных сетях, выдающих себя за проекты, чтобы они выглядели подлинными, по словам сообщить опубликовано в сети.
В ходе атаки главная веб-страница проекта предлагает или ссылается на установочные файлы предполагаемого «игрового» программного обеспечения, якобы для использования разработчиками. Однако вместо этого эти файлы доставляют либо Атомный похититель macOS для устройств на базе Intel или ARM; Радамантис; или RisePro, в зависимости от операционной системы жертвы.
«Целевой характер этой кампании предполагает, что субъекты угроз могут воспринимать геймеров Web3 как имеющих более острую уязвимость к социальной инженерии из-за предполагаемого компромисса в кибергигиене — это означает, что геймеры Web3 могут иметь меньше средств защиты от киберпреступности — в погоня за прибылью», — говорится в докладе.
Эта прибыль поступает в виде криптовалюты, поскольку игрок в первую очередь нацелен на криптокошельки разработчиков с целью взлома этих кошельков. Под играми Web3 подразумеваются онлайн-игры, такие как Axie Infinity и MixMob, построенные на технологии блокчейна, что может привести к финансовой выгоде для игроков, зарабатывающих различные криптовалюты.
«Поскольку взлом кошелька продолжает оставаться самой большой угрозой как для безопасности Web3, так и для безопасности криптовалют… мы считаем, что взлом кошелька, скорее всего, является конечной целью этой кампании», — сообщает Insikt Group. Согласно отчету, злоумышленники также могут использовать учетные данные, полученные в результате вредоносной деятельности, «для множества несанкционированных доступов к учетным записям».
Действительно, в отчете приводятся несколько сообщений в социальных сетях о разработчиках игр, ставших жертвами мошенничества и опустошивших свои криптокошельки, в том числе один, потерявший около 2.5 Ethereum, или около 8,000 долларов.
Установка ловушки посредством выдачи себя за другое лицо
Кампания нападения осуществляется в форме так называемой «ловушки». фишинг», посредством чего злоумышленники дублируют и развертывают двойники проектов Web3.
Исследователи Insikt начали расследование вредоносной деятельности после того, как аудитор смарт-контрактов Web3 CertiK описал в январе проект под названием Astration, в котором использовались фальшивые вакансии и предложения невзаимозаменяемых токенов NFT, чтобы заманить разработчиков игр в кампанию фишинга, распространяющую инфокрадов.
Мошеннический проект продублировал и воссоздал почти все учетные записи социальных сетей, связанные с законным проектом под названием «Изменение», включая репост контента социальных сетей из законных учетных записей, создание прямой копии сервера Discord проекта и доставку двух типов вредоносного ПО.
В ходе дальнейшего исследования Insikt обнаружил еще пять мошеннических игровых проектов, три из которых обслуживали вредоносные файлы, взаимодействующие с тем же сервером управления (C2), что и полученные из проекта Astration, а также два, которые уже не были активны, но были признаны похожими на активное мошенничество. Предполагаемые названия игр, связанных с активными проектами, были ArgonGame, DustFighter и CosmicWay Reboot, а игры, связанные с неактивными проектами, — Crypterium World и Myth Island.
В целом, по словам Insikt, злоумышленники проводят кампанию через «устойчивую инфраструктуру, позволяющую им быстро адаптироваться путем ребрендинга или смещения фокуса после обнаружения».
Сохраняйте бдительность для снижения риска
Инсикт подчеркнул необходимость как отдельных лиц, так и организаций сохранять постоянную бдительность в отношении угроз и принимать стратегии смягчения последствий кампаний, которые используют фишинг в качестве начальной точки входа. С этой целью группа предложила в своем отчете ряд мер по смягчению последствий, а также включила список индикаторов компрометации.
Один из них — обеспечить всестороннее обучение пользователей — особенно тех, кто занимается играми Web3 или смежными отраслями, — чтобы они научились распознавать тактики социальной инженерии, связанные с фишингом-ловушкой. Согласно отчету, разработчикам игр, в частности, следует «тщательно проверять легитимность проектов Web3, рекламируемых в социальных сетях».
Организации также должны информировать пользователей об общеизвестных рисках, связанных с загрузкой программного обеспечения из непроверенных источников, и о важности проверки подлинности веб-сайтов проектов перед установкой.
Решения для защиты конечных точек, обновленные с использованием новейших аналитических данных об угрозах, например антивирусного программного обеспечения, способного обнаруживать и блокировать известный инфокрад такие варианты, как Atomic, Stealc, Радамантиси RisePro — также может помочь организациям избежать компромисса.
По мнению Insikt, организациям также следует развернуть многоплатформенные меры безопасности для защиты от заражения вредоносным ПО на устройствах MacOS и Windows, включая брандмауэры, системы обнаружения вторжений и решения для обнаружения и реагирования на конечных точках (EDR).
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/russian-actor-targets-web3-game-developers-with-infostealers
