1,000 多个假冒加密货币网站以虚假奖励计划诱骗用户

至少从 2021 年 1 月开始，一个以前未被发现的加密货币骗局利用了 1,000 多个欺诈网站来诱使用户陷入虚假的奖励计划。

趋势科技研究人员在上周发布的一份报告中表示：“这场大规模的活动可能导致全球数千人被骗，”并将其与名为“Impulse Team”的讲俄语的威胁演员联系起来。

“该骗局通过预付费用欺诈来运作，该欺诈涉及欺骗受害者相信他们已经赢得了一定数量的加密货币。然而，为了获得奖励，受害者需要支付少量费用才能在他们的网站上开设账户。“

妥协链从通过 Twitter 传播的直接消息开始，以引诱潜在目标访问诱饵站点。负责发送消息的帐户已被关闭。

该消息敦促收件人在网站上注册一个帐户并应用消息中指定的促销代码，以赢取总计 0.78632 比特币（约合 20,300 美元）的加密货币奖励。

但是，一旦在假平台上设置了账户，用户就需要通过存入价值 0.01 比特币（约合 258 美元）的最低存款来激活账户，以确认他们的身份并完成提款。

研究人员指出：“虽然数量相对可观，但与用户获得的回报相比，激活账户所需的金额相形见绌。” “然而，正如预期的那样，接收者在支付激活金额时永远不会得到任何回报。”

记录受害者每笔付款的公共 Telegram 频道显示，在 2022 年 12 月 24 日至 2023 年 3 月 8 日期间，非法交易为演员带来了略高于 500 万美元的收益。

趋势科技表示，它发现了数百个与此欺诈相关的域，其中一些域早在 2016 年就很活跃。所有假冒网站都属于一个代号为 Impulse 的附属“诈骗加密项目”，该项目自 2021 年 2 月以来一直在俄罗斯网络犯罪论坛上做广告.

与勒索软件即服务 (RaaS) 操作一样，该项目要求附属参与者支付费用才能加入该计划，并与原作者分享一定比例的收入。

为了给该行动披上合法性的外衣，据信威胁行为者已经创建了一个名为 ScamDoc 的已知反诈骗工具的相似版本，该工具为不同的网站分配信任评分，似乎是在试图通过粗略的加密货币服务值得信赖。

趋势科技表示，它还在 TikTok 和Mastodon等其他社交网络上发现了私人消息、在线视频和广告，这表明附属公司正在使用各种方法来宣传欺诈活动。

研究人员说：“威胁行为者通过提供托管和基础设施来简化其附属机构的运营，以便他们可以自己运行这些诈骗网站。” “然后，附属公司就可以专注于运营的其他方面，例如开展他们自己的广告活动。”

几周前，Akamai 揭开了名为Diicot（以前称为 Mexals）的新罗马尼亚加密劫持活动的面纱，该活动使用基于 Golang 的安全外壳 (SSH) 蠕虫模块和新的 LAN 传播器进行传播。

上个月，Elastic 安全实验室详细介绍了使用名为r77的开源 rootkit在几个亚洲国家/地区部署 XMRig 加密货币矿工。

“r77 的主要目的是通过挂接重要的 Windows API 来隐藏系统上其他软件的存在，使其成为网络犯罪分子进行隐蔽攻击的理想工具，”研究人员说。

“通过利用 r77 rootkit，恶意加密矿工的作者能够逃避检测并继续他们的活动而不被发现。”

值得指出的是，r77 rootkit 也包含在SeroXen中，SeroXen 是 Quasar 远程管理工具的一种新生变体，每月许可证的售价仅为 30 美元，终身捆绑包的售价仅为 60 美元。