Практичний приклад полювання на загрози – історія про ботів і вкрадені кошти

Беріть попкорн і детективні капелюхи, люди! Сьогодні ми зануримося в захоплюючу історію про проект полювання на загрози, який ми взяли. Ми не можемо розповісти все з міркувань конфіденційності, але ми обіцяємо, що це одна історія з американських гірок. 

Фішинг 

Наша історія починається з простого повідомлення, яке обіцяє користувачам у соціальних мережах швидкий шлях до клубу криптомільйонерів. Після бомбардування відео TikTok, на яких криптомільйонери хизуються своїми яскравими Lamborghini, проповідуючи, як легко швидко збагатитися, користувач не міг не подумати: «Тепер моя черга!»

Після того, як ви перейшли на веб-сайт і схвильовано увійшли, на екрані раптово з’явилося майже 1.5 мільйона доларів. Користувач стає приголомшеним від перспективи нарешті кинути роботу та усамітнитися десь на піщаному пляжі, і, недовго думаючи, натискає кнопку «відкликати».

Але не без попереднього схвалення передачі!

Після підписання транзакції за допомогою свого гаманця для схвалення свопу не було жодних ознак того, що гаманець користувача було скомпрометовано. Здавалося, що користувач дійсно тільки що розбагатів! Все виглядало просто чудово, і контракт виконали без проблем… Отже, жодного ризику не було. правильно?

Не зовсім…

На жаль для цього користувача, ці зловмисники є хитрими. Вони розробляють нічого не підозрюючий UI/UX, який виглядає абсолютно безпечним. За цим невинним фасадом вони тихо виснажують усі USDT, які жертва ховала, сподіваючись інвестувати їх у наступний 10,000 XNUMX-кратний альткойн.

Але як саме вони організовують цю підступну операцію? Продовжуйте читати, щоб дізнатися.

Місія Сейфера

У цій дикій погоні за дослідницьким проектом ми мали на меті придушити масштаби цієї операції, винюхати всі їхні відомі домени та адреси та викрити винних у всьому. За кілька місяців ми розв’язали більшість наших початкових запитань, а також купу несподіваних лоскоток мозку, які навіть не думали поставити на початку!

Зануримось…

Як це почалося:

Ми дійшли висновку, що найкращою стратегією було б атакувати на всіх фронтах, але перш ніж продовжити, нам потрібно було зібрати більше інформації. Щоб отримати необхідну інформацію, ми почали з вивчення всіх наявних потенційних клієнтів.

1. Шкідливий обліковий запис Twitter
2. Шкідливий веб-сайт
3. Шкідливий смарт-контракт

Що ми знайшли:

Боти Боти Боти

Спочатку ми підозрювали, що обліковий запис був роботом. Завдяки подальшому дослідженню ми змогли підтвердити, що наші інстинкти були правильні. Бот мав невелику кількість підписників і стежив лише за кількома обліковими записами. Він опублікував кілька твітів, які пропагували шахрайство та використовували загальні фотографії та текст, згенерований ШІ. Щоб дати нам підказки та допомогти знайти схожі сторінки, ми ретельно проаналізували сторінку Twitter на наявність унікальних функцій. Ми почали з пошуку конкретних емодзі в описі, що призвело до багатьох нерелевантних результатів. Коли ми думали, що зайшли в глухий кут, у нас стався прорив! Проміжок нульової ширини (ZWS) між двома емодзі виявився вирішальним елементом у нашому процесі зняття відбитків пальців.

🚀​🪙

Тепер, на людське око, тут немає нічого незвичайного… Однак, якщо придивитися ближче, між ними з’явився додатковий, невидимий персонаж. Ця дрібна деталь була важливою для нашого дослідження.

Ми припустили, що це міг бути збій у сценарії бота. Після цього відкриття ми виявили понад 300 ботів, що мають однакові характери, кожен з яких рекламує різні криптошахрайства та посилається на свої веб-сайти. З цим списком у руках ми рушили до наступного фронту.

Погані веб-сайти

Після успішного виявлення бота наступним кроком стало дослідження цих шахрайських веб-сайтів. Це включало комплексну розвідку, яка охоплювала аналіз субдоменів і папок сервера, збір інформації з відкритих джерел (OSINT), відбитки сервера, використання конкретних пошукових термінів (дорки), виявлення ідентифікатора Google Analytics, перевірку прозорості сертифіката тощо. Під час цього процесу ми виявили спеціальний бек-енд для веб-сайту, який не був пов’язаний з офіційним сайтом.

Ми прослідкували за навігаційними крихтами та за допомогою одного з наших дурнів Google виявили, що цей інтерфейс адміністратора згадувався в публікації Pastebin кілька місяців тому. Ця публікація містила список із сотень схожих веб-сайтів, які використовували той самий бек-енд.

На щастя, один із цих сайтів завантажив свої вихідні карти. Це дало нам доступ до повного зовнішнього коду, включаючи коментарі. З цього ми дізналися справжню назву шахрайської платформи! Пізніше ми з’ясували, що код продається як платформа криптошахрайства в Darknet

Завдяки нашому ретельному аналізу ми виявили кіберзлочинну групу в Азії, відповідальну за шахрайство, і надали цю інформацію правоохоронним органам, щоб притягнути їх до відповідальності.

Хоча виявити злочинця було величезним подвигом, нам все одно потрібно було зрозуміти їхні методи. Це привело нас до наступного напряму дослідження: розумного контракту.

Хитрий смарт-контракт 

Під час нашого розслідування їхніх смарт-контрактів перевірка зловмисних транзакцій показала, що контракт обманним шляхом просив користувача «схвалити все», надаючи смарт-контракту дозвіл на видалення всіх коштів із гаманця користувача. Ми не були здивовані, оскільки цей тип шахрайства є поширеним через високий ризик Dapps (ви можете прочитати більше про це в чудовий твір наших колег із Zengo).

Але нам потрібно було копнути ще глибше, щоб зрозуміти, як це було зроблено, тому ми вирішили перепроектувати контракт. Наш аналіз виявив дивний код операції, який спрацьовував, коли користувач намагався зняти кошти. Контракт перевірив глобальну змінну block.basefee, представлену кодом операції 0x48 EVM у ЕІП-3198. Якби ці змінні дорівнювали 0, усі контрактні кошти були б перераховані жертві – це повна протилежність шахрайства.

(Стежте за нашим майбутнім навчальним посібником про те, як розробити контракти за допомогою ChatGPT).

Ми продовжили копати й виявили, що багато інструментів моделювання транзакцій дозволяють користувачам попередньо переглядати результат транзакції, не виконуючи її фактично. Ці інструменти в основному є оболонками для реалізації вузла Ethereum trace_call/debug_traceCall.

Зловмисник успішно розшифрував реалізацію trace_call і створив код, який поводиться інакше в симуляції порівняно з реальним життям, гарантуючи відсутність підозр у користувачів. Це означає, що в симульованому середовищі здається, ніби жертва отримує кошти, тоді як насправді транзакція не відбувається.

Цей тип шкідливих програм рідко зустрічається в природі. Наскільки нам відомо, це перший випадок зловмисного програмного забезпечення на основі анти-VM на основі EVM.

Висновок

Підсумовуючи, цей проект полювання на загрози підкреслює важливість комплексного, багатогранного дослідження для виявлення та розуміння криптошахрайства. Було використано безліч методів, починаючи від відбитків пальців ботів і розвідки веб-сайтів до аналізу смарт-контрактів. Ці методи продемонстрували, як поглиблений аналіз може виявити справжню природу операції, дати розуміння її мотивів і навіть ідентифікувати винних.

Крім того, це тематичне дослідження підкреслює необхідність пильності та обережності під час онлайн-транзакцій, особливо в криптовалюті. У цьому випадку зловмисники успішно створили переконливий UI/UX, наголошуючи на необхідності інформування користувачів про фішингові афери та важливості перевірки автентичності веб-сайтів і транзакцій. Це може зменшити ризик крадіжки коштів і створити більш безпечне онлайн-середовище.

Кінець.