هکرهای چینی از برنامه جعلی اسکایپ برای هدف قرار دادن کاربران رمزارز در کلاهبرداری جدید فیشینگ استفاده می کنند

شرکت امنیتی کریپتو SlowMist چندین آدرس کیف پول مرتبط با یک کلاهبرداری فیشینگ را کشف کرده است که صدها هزار دلار از کاربران ناآگاه رمزارزها تخلیه کرد.

یک کلاهبرداری فیشینگ جدید در چین ظاهر شده است که از یک برنامه ویدیویی جعلی اسکایپ برای هدف قرار دادن کاربران رمزنگاری استفاده می کند.

بر اساس گزارشی که توسط شرکت تجزیه و تحلیل امنیت کریپتو SlowMist منتشر شد، هکرهای چینی پشت کلاهبرداری فیشینگ از ممنوعیت چین در برنامه های بین المللی به عنوان مبنای کلاهبرداری خود استفاده کردند، به طوری که بسیاری از کاربران سرزمین اصلی اغلب این برنامه های ممنوعه را از طریق سیستم عامل های شخص ثالث جستجو می کردند.

برنامه‌های رسانه‌های اجتماعی مانند تلگرام، واتس‌اپ و اسکایپ برخی از رایج‌ترین برنامه‌هایی هستند که توسط کاربران سرزمین اصلی جستجو می‌شوند، بنابراین کلاهبرداران اغلب از این آسیب‌پذیری برای هدف قرار دادن آنها با برنامه‌های جعلی و شبیه‌سازی‌شده حاوی بدافزارهای توسعه‌یافته برای حمله به کیف پول‌های رمزنگاری استفاده می‌کنند.

تیم SlowMist در تجزیه و تحلیل خود دریافت که برنامه جعلی Skype که اخیرا ایجاد شده است، نسخه 8.87.0.403 را نمایش می دهد، در حالی که آخرین نسخه رسمی اسکایپ 8.107.0.215 است. این تیم همچنین کشف کرد که دامنه بک‌اند فیشینگ «bn-download3.com» در 23 نوامبر 2022 جعل هویت صرافی بایننس است و بعداً در 23 مه 2023 به تقلید از یک دامنه بک‌اند اسکایپ تغییر کرد. برنامه جعلی اسکایپ اولین بار توسط کاربری گزارش شد که “مقدار قابل توجهی پول” را به خاطر همان کلاهبرداری از دست داده بود.

امضای برنامه جعلی نشان داد که برای درج بدافزار دستکاری شده است. پس از کامپایل کردن برنامه، تیم امنیتی یک چارچوب شبکه اندرویدی که معمولاً مورد استفاده قرار می‌گیرد اصلاح شده، “okhttp3” را برای هدف قرار دادن کاربران رمزنگاری کشف کردند. چارچوب پیش‌فرض okhttp3 درخواست‌های ترافیک اندروید را مدیریت می‌کند، اما okhttp3 اصلاح‌شده تصاویر را از دایرکتوری‌های مختلف روی گوشی دریافت می‌کند و برای هر تصویر جدید در زمان واقعی نظارت می‌کند.

okhttp3 مخرب از کاربران درخواست می‌کند تا به فایل‌ها و تصاویر داخلی دسترسی داشته باشند، و از آنجایی که اکثر برنامه‌های شبکه‌های اجتماعی به هر حال این مجوزها را می‌خواهند، اغلب به هیچ تخلفی مشکوک نیستند. بنابراین، اسکایپ جعلی بلافاصله شروع به آپلود تصاویر، اطلاعات دستگاه، شناسه کاربری، شماره تلفن و سایر اطلاعات در قسمت پشتی می کند.

هنگامی که برنامه جعلی دسترسی پیدا کرد، به طور مداوم به دنبال تصاویر و پیام‌هایی با رشته‌های قالب آدرس Tron و Ether می‌گردد. اگر چنین آدرس‌هایی شناسایی شوند، به‌طور خودکار با آدرس‌های مخرب از پیش تعیین‌شده توسط گروه فیشینگ جایگزین می‌شوند.

در طول آزمایش SlowMist، مشخص شد که جایگزینی آدرس کیف پول متوقف شده است، با پایان دادن به رابط فیشینگ بسته شده و دیگر آدرس‌های مخرب را بر نمی‌گرداند.

تیم همچنین کشف کرد که یک آدرس زنجیره ای ترون (TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB) تقریباً 192,856 تتر را تا 8 نوامبر دریافت کرده است که در مجموع 110 تراکنش در این آدرس انجام شده است. در همان زمان، یک آدرس زنجیره ای ETH دیگر (0xF90acFBe580F58f912F557B444bA1bf77053fc03) تقریباً 7800 USDT در 10 تراکنش دریافت کرد.

تیم SlowMist تمام آدرس های کیف پول مرتبط با کلاهبرداری را پرچم گذاری کرده و در لیست سیاه قرار داد.