Как за две минуты лишиться криптовалюты в Telegram? Стать жертвой может каждый

Хакеры придумали новый способ кражи криптовалют с пользовательских устройств при помощи поддельных ботов безопасности в Telegram. Злоумышленники создают сценарии, которые побуждают пользователей использовать вредоносного “Safeguard” бота. GetBlock AML Research объясняет, как хакеры могут получить доступ к вашей криптовалюте при помощи Telegram.

На что ловят

Наиболее популярные способы “заставить” жертву использовать вредоносного бота — провести фейковые эйдропы или создать фейковую страницу в Telegram популярного криптоинфлюенсера. При попытке получить бесплатные токены или зафоловить инфлюенсера — пользователь сталкивается с необходимостью пройти верификацию через Safeguard бота.

Одна из фишинговых групп под видом проведения эйрдропа

Точка невозврата

Поддельный бот Safeguard для прохождения идентификации

Весь вредоносный функционал реализован именно в Safeguard боте. При попытке открыть его и пройти автоматическую верификацию пользователь столкнется с ошибкой и будет вынужден прибегнуть к ручной идентификации. Бот сообщит, что нужно открыть командную строку Windows, нажать комбинацию клавиш Control (CTRL) + V и нажать Enter.

Диалоговое окно, которое копирует вредоносную команду в буфер обмена

Важно: в момент, когда пользователь видит это диалоговое окно — в его буфер обмена уже скопирована вредоносная команда, которая при запуске в командной строке заражает устройство специальным трояном для кражи криптовалют и Telegram-аккаунта жертвы. Поэтому ни в коем случае нельзя выполнять действия, которые описаны в диалоговом окне.

Вредоносная команда для заражения устройства, которая копируется в буфер обмена

В случае заражения трояном — злоумышленники получают полный удаленный доступ к устройству жертвы и всем конфиденциальным данным, в том числе к учетным записям и закрытым ключам криптовалютных кошельков. Подробный функционал таких троянов разобрал белый хакер Jose’s.

Для продвижения вредоносного бота в Telegram злоумышленники используют социальные сети, в частности X, и аккаунты знаменитостей. Например, ссылки на использование Safeguard бота можно найти в комментариях к публикациям президента США Дональда Трампа.

Фейковая раздача мемкоинов Трампа в X

Ончейн-анализ

Найденные при исследовании вредоносного кода адреса хакеров указывают на то, что им удалось украсть криптовалюту на $1,2 млн. Для отмывания активы были направлены на биржи Binance, HTX, FixedFloat, ChangeNow, eXch и Cryptomus.

Адреса злоумышленников:

• HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV
• 2v1DUcjyNBerUcYcmjrDZNpxfFuQ2Nj28kZ9mea3T36W
• D8TnJAXML7gEzUdGhY5T7aNfQQXxfr8k5huC6s11ea5R
• 0x21B681C98ebc32A9C6696003fc4050F63bc8b2C6

Что делать, если устройство заражено

Если были выполнены все инструкции хакеров, то нужно быстро выполнить следующие действия:

1. Найти другое устройство, которое не было затронуто злоумышленниками;
2. Использовать это устройство для перевода криптовалюты с текущих кошельков на новые;
3. Завершить активные сеансы всех учетных записей, сменить их пароли, а также включить двухфакторную идентификацию (2FA);
4. Установить антивирусное ПО на зараженное устройство, выполнить полное сканирование;
5. После обнаружения и удаления трояна выполнить переустановку операционной системы.

Этот алгоритм действий не гарантирует полную защиту от злоумышленников, но может помешать им завладеть вашими активами и учетными записями.