Prendete i popcorn e i cappelli da detective, gente! Oggi ci immergiamo nella storia avvincente di un progetto di caccia alle minacce che abbiamo affrontato. Non possiamo svelare tutti i dettagli per motivi di privacy, ma promettiamo che questa è una storia sulle montagne russe.
La truffa del phishing
La nostra storia inizia con un semplice messaggio che promette agli utenti dei social media una corsia preferenziale per entrare nel club dei criptomilionari. Dopo essere stato bombardato da video TikTok di criptomilionari che ostentano le loro vistose Lamborghini mentre predicano quanto sia facile arricchirsi velocemente, l'utente non ha potuto fare a meno di pensare: "Ora tocca a me!"
Dopo aver cliccato sul sito web ed aver effettuato l'accesso con entusiasmo, sullo schermo appare improvvisamente quasi 1.5 milioni di dollari. L'utente è sopraffatto dalla prospettiva di poter finalmente lasciare il proprio lavoro e ritirarsi su una spiaggia sabbiosa da qualche parte e, senza pensarci due volte, fa clic sul pulsante "ritira".
Ma non senza prima approvare il trasferimento!
Dopo aver firmato la transazione con il proprio portafoglio per approvare lo scambio, non vi era alcun segno che il portafoglio dell'utente fosse compromesso. Sembrava che l'utente fosse davvero appena diventato ricco! Tutto sembrava a posto e il contratto era stato eseguito senza intoppi... Quindi non c'erano rischi. Giusto?
Non proprio…
Sfortunatamente per questo utente, questi aggressori sono astuti. Progettano un'interfaccia utente/UX ignara che sembra completamente sicura. Dietro questa facciata innocente, stanno tranquillamente prosciugando tutti gli USDT che la vittima aveva nascosto nella speranza di investirli nel prossimo Altcoin da 10,000X.
Ma come orchestrano esattamente questa subdola operazione? Continua a leggere per scoprirlo.
La missione di Sayfer
In questa folle ricerca di un progetto di ricerca, eravamo in missione per reprimere la portata di questa operazione, annusare tutti i loro domini e indirizzi conosciuti e smascherare i colpevoli dietro tutto ciò. Nel corso di diversi mesi, abbiamo risolto la maggior parte delle nostre domande iniziali, oltre a una serie di solleticatori cerebrali a sorpresa che non avevamo nemmeno pensato di chiedere all'inizio!
Immergiti in ...
Come è iniziato:
Siamo giunti alla conclusione che la strategia migliore fosse attaccare su tutti i fronti, ma prima di procedere era necessario raccogliere maggiori informazioni. Per acquisire le informazioni necessarie, abbiamo iniziato esplorando tutte le piste disponibili che avevamo.
- L'account Twitter dannoso
- Il sito Web dannoso
- Il dannoso contratto intelligente
Cosa abbiamo trovato:
Bot Bot Bot
Inizialmente sospettavamo che l'account fosse un bot. Attraverso ulteriori indagini, siamo stati in grado di confermare che il nostro istinto aveva ragione. Il bot aveva un numero limitato di follower e seguiva solo pochi account. Aveva pubblicato alcuni tweet che promuovevano truffe e utilizzavano foto generiche e testo generato dall'intelligenza artificiale. Per darci alcuni indizi e aiutarci a trovare pagine simili, abbiamo analizzato attentamente la pagina Twitter per individuare caratteristiche uniche. Abbiamo iniziato cercando emoji specifici nella descrizione, il che ha portato a molti risultati irrilevanti. Proprio quando pensavamo di essere arrivati ad un vicolo cieco, abbiamo avuto la svolta! Uno spazio a larghezza zero (ZWS) tra due emoji si è rivelato un elemento cruciale nel nostro processo di rilevamento delle impronte digitali.
🚀🪙
Ora, all'occhio umano, non c'è nulla di straordinario qui... Tuttavia, a un esame più attento, c'è un ulteriore personaggio invisibile annidato tra loro. Questo minuto dettaglio è stato determinante per la nostra ricerca.
Abbiamo ipotizzato che potrebbe trattarsi di un problema tecnico nello script del bot. In seguito a questa scoperta, abbiamo identificato oltre 300 bot che condividono lo stesso carattere peculiare, ciascuno dei quali promuove una serie di truffe crittografiche e si collega ai propri siti Web. Con questo elenco in mano, siamo passati al fronte successivo.
Siti web scadenti
Dopo il successo della scoperta dei bot, il passo successivo è stato la ricerca di questi siti Web fraudolenti. Ciò ha comportato una ricognizione completa che comprendeva l'analisi dei sottodomini e delle cartelle del server, la raccolta di informazioni da fonti aperte (OSINT), il rilevamento delle impronte digitali del server, l'uso di termini di ricerca specifici (dorks), il rilevamento dell'ID di Google Analytics, i controlli sulla trasparenza dei certificati e altro ancora. Durante questo processo, abbiamo scoperto un backend personalizzato per il sito web, che non era collegato al sito ufficiale.
Abbiamo seguito il breadcrumb e, con l'aiuto di uno dei nostri idioti di Google, abbiamo scoperto che questa interfaccia di amministrazione era stata menzionata in un post di Pastebin alcuni mesi prima. Questo post conteneva un elenco di centinaia di siti Web simili che utilizzavano lo stesso back-end.
Fortunatamente, uno di questi siti aveva caricato le proprie mappe sorgente. Questo ci ha dato accesso al codice front-end completo, compresi i commenti. Da questo abbiamo scoperto il vero nome della piattaforma truffa! Successivamente, abbiamo scoperto che il codice veniva venduto come framework di truffa crittografica sulla Darknet
Grazie alla nostra analisi approfondita, abbiamo identificato il gruppo di criminalità informatica con sede in Asia responsabile della truffa e abbiamo condiviso queste informazioni con le forze dell'ordine per consegnarle alla giustizia.
Anche se identificare l’autore del reato è stata un’impresa enorme, dovevamo ancora capire i loro metodi. Ciò ci ha portato alla successiva via di indagine: il contratto intelligente.
Contratto intelligente complicato
Durante la nostra indagine sui loro contratti intelligenti, un esame delle transazioni dannose ha rivelato che il contratto chiedeva ingannevolmente all'utente di "approvare tutto", dando allo smart contract il permesso di rimuovere tutti i fondi dal portafoglio dell'utente. Non siamo rimasti sorpresi poiché questo tipo di truffa è prevalente a causa della natura ad alto rischio di Dapps (puoi leggere di più a riguardo in un grande pezzo dai nostri colleghi di Zengo).
Ma dovevamo scavare ancora più a fondo per capire come è stato fatto, quindi abbiamo deciso di decodificare il contratto. La nostra analisi ha scoperto uno strano codice operativo attivato quando l'utente tentava di prelevare fondi. Il contratto ha controllato la variabile globale block.basefee, rappresentata dal codice operativo EVM 0x48 in EIP-3198. Se queste variabili fossero pari a 0, tutti i fondi contrattuali verrebbero trasferiti alla vittima – l’esatto opposto di una truffa.
(Resta sintonizzato per il nostro prossimo tutorial su come decodificare i contratti utilizzando ChatGPT).
Abbiamo continuato a scavare e abbiamo scoperto che molti strumenti di simulazione delle transazioni consentono agli utenti di visualizzare in anteprima il risultato di una transazione senza eseguirla effettivamente. Questi strumenti sono principalmente wrapper per l'implementazione del nodo Ethereum trace_call/debug_traceCall.
L'aggressore è riuscito a decifrare l'implementazione di trace_call e ha creato un codice che in una simulazione si comporta diversamente rispetto alla vita reale, senza garantire alcun sospetto da parte degli utenti. Ciò significa che in un ambiente simulato sembra che la vittima riceva fondi, mentre in realtà non avviene alcuna transazione.
Questo tipo di malware si trova raramente in natura. Per quanto ne sappiamo, questo rappresenta il primo caso di malware anti-VM basato su EVM.
Conclusione
In conclusione, questo progetto di caccia alle minacce sottolinea l'importanza di una ricerca completa e sfaccettata per individuare e comprendere le truffe crittografiche. Sono state utilizzate una miriade di tecniche, che vanno dal rilevamento delle impronte digitali dei bot e dalla ricognizione dei siti Web all’analisi dei contratti intelligenti. Queste tecniche hanno dimostrato come un'analisi approfondita possa rivelare la vera natura di un'operazione, fornire informazioni sulle sue motivazioni e persino identificare gli autori.
Inoltre, questo caso di studio sottolinea la necessità di vigilanza e cautela nelle transazioni online, in particolare nel settore delle criptovalute. In questo caso, gli aggressori sono riusciti a creare un’interfaccia utente/UX convincente, sottolineando la necessità di informare gli utenti sulle truffe di phishing e l’importanza di verificare l’autenticità dei siti web e delle transazioni. Ciò può ridurre il rischio di furto di fondi e favorire un ambiente online più sicuro.
La fine
Anna Shreder
Anna è una ricercatrice di sicurezza presso Sayfer. È appassionata di comprendere e ricercare i vettori di attacco e difesa che compaiono nelle nuove tecnologie emergenti.
Vuoi saperne di più?
Un incontro di consulenza gratuito incluso.
