L'investigatore della sicurezza crittografica ZachXBT ha condiviso una registrazione video sul suo account X, esponendo un hacker noto come vKevin durante una sofisticata truffa tramite un falso bot di Safeguard Telegram. Si credeva che lo sfruttatore stesse collaborando con altri attori nella truffa mentre era in una scuola di New York.
Il 23 gennaio, ZachXBT, una figura ben nota nella comunità investigativa sulle criptovalute, ha pubblicato un video di 31 minuti sulla piattaforma di social media X che catturava "vKevin" mentre utilizzava Telegram per truffare denaro alle vittime. Nel video, "vKevin" è stato visto collaborare con dei complici mentre era impegnato in attività di phishing rivolte a vittime ignare.
L'analista della sicurezza crittografica ha risposto a un post dell'utente @pcaversaccio, che aveva messo in guardia la comunità crittografica sulla nuova tattica ingannevole su Telegram, che ha descritto come "la più grande minaccia alla sicurezza in questo momento".
Gente, la più grande minaccia alla sicurezza in questo momento sono le persone che eseguono codice alla cieca, invocano comandi oscuri o installano applicazioni solo perché qualcuno o un sito web a caso glielo ha detto. Esempio: cazzo, smettila di eseguire ciecamente quei comandi _dannosi_ di PowerShell solo perché… pic.twitter.com/vuBDabQJNY
— sudo rm -rf –no-preserve-root / (@pcaversaccio) 23 gennaio 2025
La truffa prevedeva di indurre le vittime a verificare la propria identità tramite un falso bot di Safeguard. Ciò ha consentito all'hacker di ottenere un accesso non autorizzato ai propri account Telegram e, successivamente, ai propri portafogli di bot di trading. Una volta lì, gli sfruttatori potevano portare via i beni delle vittime, in alcuni casi fino a centinaia di migliaia di dollari.
Gli investigatori identificano una nuova pericolosa truffa bot di Telegram
Secondo un mezzo di spiegazione della società di sicurezza blockchain SlowMist, la falsa truffa di salvaguardia di Telegram ha due metodi di infiltrazione. I truffatori possono sfruttare il bot per sollecitare gli utenti a fornire informazioni private, incluse password e codici di verifica. Possono anche installare virus malware per hackerare i computer e rubare direttamente informazioni.
Nell'articolo pubblicato il 18 gennaio, SlowMist ha descritto come gli autori di attacchi creano account contraffatti di opinion leader chiave (KOL) su X, allegando strategicamente collegamenti di invito ai gruppi Telegram nei commenti per attirare potenziali vittime.
Gli utenti che si uniscono alle “comunità” tramite il collegamento vengono quindi accolti con richieste di un processo di “verifica”. Se seguono i passaggi, un agente Trojan di accesso remoto (RAT) dannoso attiva comandi PowerShell che compromettono qualsiasi installazione di sicurezza, consentendo all'hacker di accedere al sistema senza autorizzazione.
Dopo il post di ZachXBT, un utente ha chiesto se l'hacker "vKevin" fosse stato doxxato, cosa che ZachXBT ha confermato con un semplice "sì".
Terrà le tasche in prigione.
(e sì, sembri brutto fratello) pic.twitter.com/DKcomKIk6M
– ImNotTheWolf (@ImNotTheWolf) 23 gennaio 2025
In una delle risposte, un utente ha condiviso una foto del presunto sfruttatore, anche se alcuni dettagli specifici, come la sua posizione immediata o con chi stava lavorando, devono ancora essere divulgati.
Lo stesso hacker è stato responsabile della violazione del server Discord nel 2022
vKevin è stato presumibilmente responsabile di un'altra violazione della rete che ha visto i possessori di NFT perdere oltre $ 300.000 il 14 agosto 2022. L'aggiornamento è stato rivelato dall'utente X @Iamdeadlyz. Hanno spiegato come l'hacker ha attaccato Discord di DigikongNFT quando ha distribuito un webhook sotto forma di un falso bot MEE6, all'interno del server.
Questo bot è stato progettato per facilitare un attacco di phishing utilizzando un bookmarklet per esfiltrare i token di autenticazione Discord dagli utenti. Il sito di phishing collegato a questo attacco era ospitato su mee6.ca/verify , un dominio registrato tramite il servizio web Namecheap e ospitato su AWS con l'indirizzo IP 23.22.5.68.
. Il server Discord di @DigikongNFT è compromesso
/famousfoxfedaration.netlify.app
@solanafm
3HZmQ7TVkhcuPu5jb349LARJYP8LMVC7U31qsCuYCksoStessi attori dannosi dietro l'attacco @AI_Roulette
ID @Discord dell'impersonatore: 852413673053093908 https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW
– iamdeadlyz (@Iamdeadlyz) 14 agosto 2022
Le prove delle azioni di vKevin sono state condivise sul canale generale del server Discord, sebbene la maggior parte delle informazioni sensibili siano state oscurate.
Namecheap ha successivamente confermato di aver sospeso il servizio abusivo in risposta a questa violazione della sicurezza, ma vKevin e altri hacker avevano già fatto sparire le raccolte NFT.
Da Zero a Web3 Pro: il tuo piano di lancio carriera di 90 giorni