Takmer 2000 hacknutých stránok WordPress teraz zobrazuje falošné pop-up okná NFT a zľavy, aby návštevníkov oklamalo a prinútilo ich pripojiť peňaženky k odčerpávačom kryptomien, ktoré automaticky kradnú finančné prostriedky.
Spoločnosť Sucuri, ktorá sa zaoberá bezpečnosťou webových stránok, minulý mesiac odhalila, že hackeri napadli približne 1 000 stránok WordPress, aby propagovali crypto drainery, ktoré propagovali prostredníctvom malvertisingu a videí na YouTube.
Predpokladá sa, že aktéri hrozby neboli so svojou pôvodnou kampaňou úspešní a začali na kompromitované stránky nasadzovať spravodajské skripty, aby premenili webové prehliadače návštevníkov na nástroje na hrubé vynútenie hesiel administrátorov na iných stránkach.
Tieto útoky sa týkali zhluku približne 1 700 lokalít, na ktorých sa vykonávalo brute-forcing, vrátane významných príkladov, ako je napríklad webová lokalita Ekvádorskej asociácie súkromných bánk. Cieľom bolo vytvoriť dostatočne veľký súbor lokalít, ktoré by sa mohli nakoniec speňažiť v rámci rozsiahlejšej kampane.
Podľa výskumníka kybernetickej bezpečnosti MalwareHunterTeam začali teraz aktéri hrozby tento súbor stránok speňažiť zobrazovaním vyskakovacích okien propagujúcich falošné ponuky NFT a krypto zľavy.
Aj keď nie je známe, koľko napadnutých webových lokalít v súčasnosti zobrazuje tieto kryptografické odčerpávače, vyhľadávanie Urlscan ukazuje, že za posledných sedem dní sa škodlivé skripty načítali na viac ako 2 000 napadnutých webových lokalít.
Nie všetky v súčasnosti generujú kryptografické pop-up podvody, ale to sa môže kedykoľvek zmeniť.
Vyskakovacie okná vedú k odčerpávaniu krypto údajov
Škodlivé skripty sa načítavajú z domény dynamic-linx[.]com, čo je rovnaká adresa URL, ktorú spoločnosť Sucuri zaznamenala minulý mesiac.
Tento skript skontroluje, či existuje konkrétny súbor cookie („haw“), a ak neexistuje, vloží do webovej stránky škodlivé skripty, ako je znázornené nižšie.
Škodlivý kód náhodne zobrazuje propagačné vyskakovacie okno a vyzýva obete, aby pripojili svoje peňaženky a vyrazili sľubný NFT alebo získali zľavu na webovej stránke.
BleepingComputer otestoval viacero stránok, na ktorých sa tieto skripty nachádzajú, a aj keď sa spočiatku vyskytli problémy s vyskakovacími oknami, ktoré sa nepokúšali pripojiť k peňaženkám, nakoniec začali opäť fungovať.
Po kliknutí na tlačidlo pripojenia skripty spočiatku zobrazia natívnu podporu pre peňaženky MetaMask, Safe Wallet, Coinbase, Ledger a Trust Wallet. Podporujú však aj funkciu „WalletConnect“, ktorá podporuje mnoho ďalších peňaženiek, čím sa výrazne rozširuje rozsah zacielenia.
Keď sa návštevník pripojí na webovú stránku Web3 k svojej peňaženke, program na odčerpávanie kryptografických prostriedkov ukradne všetky finančné prostriedky a NFT na účte a odošle ich aktérom hrozby.
Treba poznamenať, že MetaMask zobrazí varovanie pri návšteve webových stránok infikovaných týmito škodlivými skriptami.
Crypto drainery sa stali masívnym problémom pre komunitu kryptomien, pričom aktéri hrozieb sa nabúravajú do známych účtov X a vytvárajú AI videá a škodlivé reklamy na propagáciu webových stránok, ktoré využívajú škodlivé skripty.
Aby ste sa vyhli strate svojich digitálnych aktív v prospech prevádzkovateľov crypto drainerov a iných kybernetických zločincov, pripájajte svoju peňaženku len k dôveryhodným platformám.
Bez ohľadu na zavedenú reputáciu webovej stránky je rozumné zachovávať opatrnosť pri neočakávaných vyskakovacích oknách a popupoch, najmä ak tieto nie sú v súlade s primárnou témou alebo dizajnom webovej stránky.
