Kỹ thuật mới lừa đảo bảo vệ giả mạo Telegram

Tác giả: Công nghệ sương mù chậm

Gần đây, chúng tôi nhận được nhiều yêu cầu giúp đỡ từ các nạn nhân, tất cả đều liên quan đến Telegram Liên quan đến vụ lừa đảo “Bảo vệ giả mạo” trên. Vì nhiều người dùng không quen với kiểu tấn công này nên họ thường không đủ cảnh giác khi gặp phải trò lừa đảo này. Cả người mới chơi và người chơi có kinh nghiệm đều có thể bị lừa. Bài viết này sẽ cung cấp những phân tích chuyên sâu về phương thức tấn công này. lừa đảo và đưa ra các đề xuất phòng ngừa hiệu quả để giúp người dùng bảo vệ tài sản khỏi bị mất mát.

Phân tích lừa đảo

Loại lừa đảo này chủ yếu được chia ra thành hai loại Một là đánh cắp tài khoản Telegram. Những kẻ lừa đảo xúi giục người dùng nhập số điện thoại di động, mã xác minh và thậm chí cả mật khẩu Xác minh hai bước để đánh cắp tài khoản Telegram của họ. Loại thứ hai là cấy Trojan vào máy tính của người dùng. được thấy gần đây hơn, bài viết này sẽ tập trung vào phương pháp thứ hai.

Trong một số hoạt động airdrop token phổ biến, khi tâm trạng FOMO của người dùng tăng cao, họ chắc chắn sẽ nhấp vào Nhấn để xác minh khi nhìn thấy giao diện Kênh bên dưới trên Telegram:

Nhấp vào Nhấn để Sau khi xác minh, bot Safeguard giả mạo sẽ mở ra, bề ngoài cho thấy rằng quá trình xác minh đang được tiến hành. Cửa sổ xác minh này cực kỳ ngắn, tạo cảm giác cấp bách và buộc người dùng phải tiếp tục.

Tiếp tục nhấp chuột, kết quả "giả vờ" xác minh không thành công và cuối cùng xuất hiện giao diện nhắc người dùng xác minh thủ công:

Kẻ lừa đảo đã cấu hình kỹ lưỡng Bước 1, Bước 2 và Bước 3. Tại thời điểm này, người dùng Đã có mã độc trong clipboard Miễn là người dùng không làm theo các bước này thì sẽ không có vấn đề gì:

Nhưng nếu người dùng ngoan ngoãn làm theo các bước này, máy tính sẽ bắt lỗi vi-rút.

Cho một ví dụ khác - kẻ tấn công giả làm KOL và sử dụng robot độc hại để xác minh và hướng dẫn chạy mã độc Powershell. Những kẻ lừa đảo tạo tài khoản X giả danh KOL, sau đó đính kèm các liên kết Telegram trong phần bình luận để mời người dùng tham gia nhóm Telegram “độc quyền” để lấy thông tin đầu tư. Ví dụ: Tài khoản Scam xuất hiện trong khu vực bình luận của @BTW0205. Nhiều người dùng sẽ thấy "tin tức thú vị" trong khu vực bình luận:

Sau đó nhập Kênh Telegram tương ứng để hướng dẫn người dùng xác minh.

Khi người dùng nhấp vào xác minh, một Biện pháp bảo vệ giả mạo sẽ xuất hiện. Tương tự như quy trình trên, Bước 1, Bước 2 và Bước 3 xuất hiện để hướng dẫn thao tác xác minh.

Lúc này, clipboard của người dùng đã bị cấy nội dung mã độc một cách bí mật. Nếu người dùng thực sự mở hộp chạy theo hướng dẫn và dán nội dung mã độc vào hộp chạy bằng Ctrl + V thì trạng thái lúc này sẽ như hình dưới. , phía trước có một khoảng trống lớn có dòng chữ Telegram và mã độc.

Các mã độc này thường là các lệnh Powershell. Sau khi thực thi, chúng sẽ âm thầm tải xuống các mã độc phức tạp hơn, cuối cùng lây nhiễm vào máy tính các Trojan điều khiển từ xa (chẳng hạn như Remcos). Khi máy tính bị Trojan điều khiển, tin tặc có thể đánh cắp từ xa các thông tin nhạy cảm như tệp ví, từ ghi nhớ, khóa riêng, mật khẩu, v.v. trong máy tính và thậm chí thực hiện hành vi trộm cắp tài sản. (Tái bút. Về hành vi của Trojan "Safeguard giả", bạn có thể tham khảo phân tích của Jose mũ trắng trong Vùng sương mù chậm để được hướng dẫn: https://jose.wang/2025/01/17/%E4%BC% AABảo vệ%E7% 97%85%E6%AF%92%E5%88%86%E6%9E%90/)

Tài khoản Ethereum Foundation @ethereumfndn Phần bình luận cũng bị vấy bẩn bởi trò lừa đảo này, thể hiện mô hình thu hoạch lưới trên diện rộng.

Phần bình luận mới nhất như chữ X của Trump cũng bị ô nhiễm bởi trò lừa đảo này:

Nếu bạn mở nó trên điện thoại di động, trò lừa đảo sẽ đến với bạn từng bước cấp phép Telegram, nếu được phát hiện kịp thời, bạn cần truy cập Quyền riêng tư và bảo mật -> Phiên hoạt động -> Chấm dứt tất cả các phiên khác trong cài đặt Telegram càng sớm càng tốt, sau đó thêm hoặc sửa đổi Xác minh hai bước.

Nếu bạn có máy tính Mac thay vì máy tính Windows, cũng có những cách tương tự để gây nhiễm vi-rút trong máy tính của bạn. Quy trình tương tự. Khi hình ảnh sau xuất hiện trên Telegram, khay nhớ tạm của bạn đã bị cấy nội dung mã độc một cách bí mật.

Không có rủi ro tại thời điểm này, nhưng nếu bạn làm theo các bước được đưa ra, những hậu quả sau sẽ xảy ra:

Phân tích MistTrack

Chúng tôi chọn một số địa chỉ hacker và sử dụng nền tảng chống rửa tiền và theo dõi trên chuỗi MistTrack để phân tích.

Địa chỉ của hacker Solana:

HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV

2v1DUcjyNBerUcYcmjrDZNpxfFuQ2Nj28kZ9mea3T36W

D8TnJAXML7gEzUdGhY5T7aNfQQXxfr8k5huC6s11ea5R

Theo MistTrack Theo phân tích, ba địa chỉ hacker trên hiện đã kiếm được tổng lợi nhuận hơn 1,2 triệu đô la Mỹ, bao gồm SOL và nhiều Token SPL.  

Trước tiên, tin tặc sẽ trao đổi hầu hết Mã thông báo SPL thành SOL:

Sau đó chuyển SOL đến nhiều địa chỉ và địa chỉ hacker cũng liên quan đến Các nền tảng Binance, Huobi và FixFloat tương tác với nhau:

Ngoài ra, địa chỉ hiện tại HVJGvGZpREPQZBTScZMBMmVzwiaVNN2MfSWLgeP6CrzV vẫn có 1.169,73 SOL và giá trị là 1.169,73 SOL Số dư Token trên 10.000 đô la Mỹ.

Hãy cùng phân tích một trong những địa chỉ hacker Ethereum 0x21b681c98ebc32a9c6696003fc4050f63bc8b2c6, giao dịch đầu tiên của địa chỉ này là vào tháng 1 năm 2025, liên quan đến nhiều chuỗi và số dư hiện tại là khoảng 130.000 USD.

Địa chỉ này sẽ chuyển ETH sang nhiều nền tảng như: ChangeNOW, eXch, Cryptomus.com:

Cách phòng ngừa

1. Tất cả ví và tiền được sử dụng trên máy tính này đều được chuyển kịp thời. Đừng nghĩ rằng việc gia hạn ví bằng mật khẩu là được;

2. mật khẩu được lưu bởi mỗi trình duyệt hoặc lịch sử đăng nhập Thay đổi tài khoản, mật khẩu hoặc 2FA của bạn càng nhiều càng tốt;

3. Thay đổi các tài khoản khác trên máy tính, chẳng hạn như Telegram. , v.v., nếu bạn có thể.

Chỉ cần đưa ra giả định cực đoan nhất. Dù sao, nếu máy tính của bạn bị nhiễm virus, máy tính của bạn sẽ trong suốt đối với những kẻ lừa đảo. Vậy nghĩ lại, bạn sẽ làm gì nếu bạn là một kẻ lừa đảo và nắm toàn quyền điều khiển một máy tính đang hoạt động trong thế giới Web3/Crypto. Cuối cùng, sau khi sao lưu dữ liệu máy tính quan trọng, bạn có thể cài đặt lại, nhưng sau khi cài đặt lại, tốt nhất bạn nên cài đặt phần mềm chống vi-rút nổi tiếng quốc tế như AVG, Bitdefender, Kaspersky, v.v. Trong chế độ chống vi-rút đầy đủ, vấn đề sẽ không xảy ra. lớn sau khi quá trình xử lý hoàn tất.

Tóm tắt

Vụ lừa đảo Safeguard giả mạo đã phát triển thành một trò lừa đảo chính thức Mô hình tấn công của hacker, từ giả mạo bình luận đến chuyển hướng lưu lượng truy cập, cấy virus Trojan, đến đánh cắp tài sản, đều là bí mật và hiệu quả. Khi các phương thức tấn công ngày càng trở nên tinh vi, người dùng cần cảnh giác hơn với các liên kết quy nạp và quy trình hoạt động khác nhau trên Internet. Chỉ bằng cách tăng cường cảnh giác, tăng cường bảo vệ và kịp thời phát hiện và xử lý các mối đe dọa tiềm ẩn, chúng ta mới có thể ngăn chặn những trò gian lận đó một cách hiệu quả.