💬 ZachXBT делится видеозаписью заключенного мошенника, использующего фейковый бот Safeguard Telegram

ZachXBT делится видеозаписью заключенного мошенника, использующего фейковый бот Safeguard Telegram

Детектив по криптобезопасности ZachXBT поделился видеозаписью на своем аккаунте X, разоблачающей хакера, известного как vKevin, во время сложной аферы с использованием поддельного бота Safeguard Telegram. Предполагалось, что эксплуататор работал с другими участниками аферы, пока он учился в нью-йоркской школе.

23 января ZachXBT, известная фигура в сообществе крипторасследователей, опубликовал 31-минутное видео на социальной медиа-платформе X, в котором запечатлен «vKevin», использующий Telegram для выманивания денег у жертв. В этом видео «vKevin» сотрудничает с сообщниками, занимаясь фишинговыми действиями, направленными на ничего не подозревающих жертв.

Аналитик по криптобезопасности ответил на пост пользователя @pcaversaccio, который предупредил криптосообщество о новой мошеннической тактике в Telegram, которую он назвал «самой большой угрозой безопасности на данный момент».

Ребята, самая большая угроза безопасности сейчас — это люди, которые слепо запускают код, вызывают непонятные команды или устанавливают приложения только потому, что какой-то случайный человек или веб-сайт сказал им это сделать. Пример: черт возьми, прекратите слепо запускать эти _вредоносные_ команды PowerShell только потому, что... pic.twitter.com/vuBDabQJNY — sudo rm -rf –no-preserve-root / (@pcaversaccio) 23 января 2025 г.

Ребята, самая большая угроза безопасности сейчас — это люди, которые слепо запускают код, вызывают непонятные команды или устанавливают приложения только потому, что какой-то случайный человек или веб-сайт сказал им это сделать. Пример: черт возьми, прекратите слепо запускать эти _вредоносные_ команды PowerShell только потому, что... pic.twitter.com/vuBDabQJNY

Мошенничество заключалось в том, что жертв обманом заставляли подтвердить свою личность с помощью поддельного бота Safeguard. Это позволяло хакеру получить несанкционированный доступ к их аккаунтам Telegram и, впоследствии, к их кошелькам торговых ботов. Оказавшись там, эксплуататоры могли увезти активы жертв, в некоторых случаях до сотен тысяч долларов.

Согласно объяснению, сделанному компанией SlowMist, занимающейся безопасностью блокчейна, мошенничество Telegram с поддельной защитой имеет два метода проникновения. Мошенники могут использовать бота, чтобы просить пользователей выдавать личную информацию, включая пароли и коды подтверждения. Они также могут внедрять вредоносные вирусы для взлома компьютеров и прямой кражи информации.

В статье, опубликованной 18 января, SlowMist рассказал, как злоумышленники создают поддельные аккаунты ключевых лидеров общественного мнения (KOL) в X, стратегически прикрепляя ссылки-приглашения в группы Telegram в комментариях для привлечения потенциальных жертв.

Пользователи, которые присоединяются к «сообществам» по ссылке, затем получают запросы на процесс «проверки». Если они следуют этим шагам, вредоносный агент удаленного доступа Trojan (RAT) запускает команды PowerShell, которые ставят под угрозу любые установки безопасности, позволяя хакеру получить доступ к системе без авторизации.

После публикации ZachXBT один из пользователей поинтересовался, был ли хакер «vKevin» разглашен, на что ZachXBT ответил простым «да».

Он будет держать карманы в тюрьме. (и да, ты выглядишь уродливо, бро) pic.twitter.com/DKcomKIk6M — ImNotTheWolf (@ImNotTheWolf) 23 января 2025 г.

Он будет сидеть в тюрьме с карманами. (И да, ты выглядишь уродливо, братан) pic.twitter.com/DKcomKIk6M

В одном из ответов пользователь поделился фотографией предполагаемого эксплуататора, хотя некоторые конкретные подробности, такие как его непосредственное местонахождение или с кем он работал, пока не разглашаются.

vKevin якобы был ответственен за еще один сетевой взлом, в результате которого держатели NFT потеряли более $300 000 14 августа 2022 года. Обновление было раскрыто пользователем X @Iamdeadlyz. Они объяснили, как хакер атаковал Discord DigikongNFT, когда он развернул веб-хук в форме поддельного бота MEE6 на сервере.

Этот бот был разработан для облегчения фишинговой атаки с использованием букмарклета для извлечения токенов аутентификации Discord у пользователей. Фишинговый сайт, связанный с этой атакой, был размещен на mee6.ca/verify, домене, зарегистрированном через веб-сервис Namecheap и размещенном на AWS с IP-адресом 23.22.5.68.

.@DigikongNFT Discord-сервер скомпрометирован/famousfoxfedaration.netlify.app?@Netlify @NetlifySupport? @solanafm3HZmQ7TVkhcuPu5jb349LARJYP8LMVC7U31qsCuYCksoТе же злоумышленники, стоящие за атакой @AI_RouletteImpersonator @Discord ID: 852413673053093908 https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW – iamdeadlyz (@Iamdeadlyz) 14 августа 2022 г.

.@DigikongNFT Discord-сервер скомпрометирован/famousfoxfedaration.netlify.app?@Netlify @NetlifySupport? @solanafm3HZmQ7TVkhcuPu5jb349LARJYP8LMVC7U31qsCuYCksoТе же злоумышленники, стоящие за атакой @AI_RouletteImpersonator @Discord ID: 852413673053093908 https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW

Доказательства действий vKevin были опубликованы на общем канале сервера Discord, хотя большая часть конфиденциальной информации была отредактирована.

Позже Namecheap подтвердил, что они приостановили работу вредоносного сервиса в ответ на эту брешь в системе безопасности, но vKevin и другие хакеры уже похитили коллекции NFT.

От нуля до Web3 Pro: 90-дневный план начала карьеры