Хакеры рассылали фейковые уведомления об утечке данных с целью кражи кошельков Trezor

04.04.2022
Хакеры рассылали фейковые уведомления об утечке данных с целью кражи кошельков Trezor

Хакеры использовали список адресатов взломанного аппаратного кошелька Trezor для рассылки поддельных уведомлений об утечке данных с целю последующей кражи криптовалютных кошельков и их содержимого, сообщает SecurityLab.

Trezor представляет собой аппаратный криптовалютный кошелек, позволяющий хранить средства offline, а не в облаке или на компьютере. При регистрации нового кошелька пользователь устанавливает так называемую сид-фразу – набор из 24 слов, позволяющий восстановить кошелек на случай его кражи или утери. Однако выходит, что получить доступ к кошельку может любой, кто знает эту сид-фразу, поэтому очень важно хранить ее в надежном месте.

На прошлых выходных владельцы кошельков Trezor стали получать по электронной почте уведомления об утечке данных, в которых их просили загрузить ПО Trezor Suite, являющееся поддельным и предназначенное для похищения сид-фраз.

Представители Trezor подтвердили , что уведомления рассылали злоумышленники в рамках фишинговой атаки. Для этого они использовали новостную рассылку с хостингом на MailChimp.

По совам представителей Trezor, компания MailChimp предположительно подтвердила, что ее сервис был взломан «инсайдером», атакующим криптовалютные компании.

«Мы с сожалением сообщаем вам, что Trezor стал участником инцидента безопасности, затронувшего данные 106 856 наших пользователей, и кошелек, связанный с вашим электронным адресом, оказался в числе затронутых утечкой», – сообщалось в поддельном уведомлении.

Согласно фишинговому уведомлению, компании неизвестны масштабы утечки, поэтому жертве необходимо загрузить якобы последнюю версию Trezor Suite и настроить новый PIN-код для своего аппаратного кошелька.

В письме содержалась ссылка на сайт, название которого выглядело как suite.trezor.com. Однако на самом деле в нем присутствовали символы Punycode, позволявшие использовать в доменном имени кириллические буквы. Настоящий адрес сайта Trezor – trezor.io.

Поскольку ПО Trezor Suite является открытым, злоумышленники загрузили его исходный код и создали собственное приложение, выглядящее как оригинальное, легитимное ПО. Когда жертва подключала свое устройство к поддельному приложению, ей предлагалось ввести свою сид-фразу, которая тотчас же отправлялась киберпреступникам.


Популярные материалы