Исследователи снова обнаружили забавный пример того, как хакеры могут атаковать других хакеров. Группировка известная под названием Water Labbu взламывает сайты криптовалютных скамеров и внедряет в код вредоносный JavaScript, который ворует средства у жертв мошенников.

Взломанный сайт скамеров

Летом текущего года ФБР предупреждало о скамерской схеме с использованием dApp (decentralized application, децентрализованных приложений), которые выдают себя за криптовалютные сервисы, якобы занимающиеся майнингом ликвидности, а на самом деле воруют криптоинвестиции наивных пользователей.

Как теперь обнаружили эксперты Trend Micro, операторы мошеннических dApp-сайтов сами стали жертвами хакеров. На таких ресурсах паразитирует хакерская группа Water Labbu, которая находит в сети «децентрализованные приложения» и внедряет на страницы их сайтов вредоносные скрипты.

Схема атаки

«В одном из проанализированных нами случаев Water Labbu внедрили тег IMG для загрузки JavaScript-пейлоада закодированного Base64 с использованием события onerror, что позволило им обойти XSS-фильтры. После этого внедренная полезная нагрузка создала еще один скрипт, который загрузил третий скрипт с сервера tmpmeta[.]com», — пишут исследователи.

Итоговый скрипт отслеживает на мошеннических сайтах недавно подключенные кошельки TetherUSD и Ethereum, а затем ​​извлекает их адреса и балансы. Если баланс превышает 0,005 ETH или 22 000 USDT, цель подходит для атаки Water Labbu.

Скрипт собирающий балансы подключенных кошельков

После скрипт определяет, работает ли цель в Windows или на мобильной ОС (Android, iOS). Если жертва пользуется мобильным устройством, вредоносный скрипт отправляет ей запрос на подтверждение транзакции через сайт dApp, создавая впечатление, что тот пришел с самого мошеннического ресурса. Если получатель подтверждает транзакцию, скрипт опустошает его кошелек и переводит все средства на адрес, принадлежащий операторам Water Labbu.

Если жертва использует Windows, вместо этого взломанные сайты будут отображать поддельное уведомление о необходимости обновить Flash Player, наложенное прямо на мошеннический ресурс. Такой «установщик Flash» на самом деле является бэкдором, загружаемым непосредственно с GitHub. Эту малварь злоумышленники точно так же используют для кражи криптовалюты и файлов cookie с устройств целей.

Исследователи резюмируют, что, к сожалению, для жертв результат в любом случае одинаков: они лишаются своих средств, просто криптовалюта оседает в карманах других хакеров. Эксперты напоминают, что всегда следует внимательно проверять любые dApp-сайты и особенно платформы для майнинга ликвидности, и не подключать свой кошелек к подозрительным ресурсам.

Источник: xakep