W przeciągu ostatnich dwóch tygodni cały czas niezidentyfikowani hackerzy emitują niewymienne tokeny NFT i w formie darmowego zrzutu (aidrdopa) oferują je użytkownikom sieci Solana. Pod przykrywką nowej aktualizacji zabezpieczeń dla portfela Phantom infekują urządzenia złośliwym oprogramowaniem, którego celem jest kradzież tokenów należących do niczego niepodejrzewających inwestorów.
Osoby, które zostały oszukane przez hackerów powinny wytransferować swoje kryptowaluty z portfela Phantom i pozmieniać wszystkie zapisane w przeglądarce hasła.
Fałszywa aktualizacja portfela Phantom instaluje wirusa
Jak twierdzi portal
Bleeping Computer, który jako pierwszy poinformował o fałszywych aktualizacjach bezpieczeństwa Phantoma, hackerzy podają się za zespół deweloperów stojący za rozwojem portfela i oferują fałszywe NFT o nazwie PHANTOMUPDATE.COM oraz UPDATEPHANTOM.COM.
Na urządzeniu pojawia się alert informujący, że niezbędne jest wykonanie aktualizacji bezpieczeństwa portfela. W rzeczywistości, jest to jednak token NFT, który prowadzi do instalacji wykradającego hasła złośliwego oprogramowania.
//twitter.com/BleepinComputer/status/1579192759348768768
- Phantom wymaga, aby wszyscy użytkownicy zaktualizowali swoje portfele. Należy to zrobić tak szybko, jak to możliwe. Niezastosowanie się do tego wymogu, może spowodować utratę środków z powodu naruszenia przez hackerów bezpieczeństwa sieci Solana. Odwiedź stronę www.updatePhantom.com, aby uzyskać najnowszą aktualizację zabezpieczeń - czytamy w ostrzeżeniu w fałszywej aktualizacji Phantoma.
Podczas odwiedzania tych stron z dowolnego urządzenia (stacjonarnego lub mobilnego), automatycznie rozpoczyna się pobieranie z DropBoxa pliku źrodłowego systemu Windows o nazwie Phantom_Update_2022-10-08.bat (VirusTotal
ostrzega przed tym plikiem). Poprzednie kampanie pobierały pliki wykonywalne o nazwie Phantom_Update_2022-10-04.exe. Rozpoczynając instalację tego pliku użytkownik ostatecznie znajdzie na swoim komputerze również windll32.exe, który służy do wykradania haseł poprzez próby uzyskiwania dostępu do danych z przeglądarek internetowych.
Co powinny zrobić osoby, które dały się nabrać?
Potencjalne ofiary, które zainstalowały fałszywą aktualizację zabezpieczeń Phantom, powinny natychmiast przeskanować swój komputer programem antywirusowym, a następnie przenieść fundusze i aktywa kryptowalutowe z istniejącego portfela w inne miejsce. Zalecane jest również zmienienie wszystkich haseł, szczególnie tych do usług finansowych i kryptowalutowych.
Komentarze