ZachXBT แชร์วิดีโอบันทึกการหลอกลวงบอต Safeguard Telegram ปลอมที่ถูกจำคุก

นักสืบด้านความปลอดภัยของ Crypto ZachXBT ได้แชร์วิดีโอที่บันทึกไว้ในบัญชี X ของเขา ซึ่งเปิดเผยแฮ็กเกอร์ที่รู้จักกันในชื่อ vKevin ในระหว่างการหลอกลวงที่ซับซ้อนผ่านบอต Safeguard Telegram ปลอม เชื่อกันว่าผู้ฉวยโอกาสกำลังทำงานร่วมกับนักแสดงคนอื่นในขณะที่เขาอยู่ในโรงเรียนในนิวยอร์ก

เมื่อวันที่ 23 มกราคม ZachXBT ซึ่งเป็นบุคคลที่มีชื่อเสียงในชุมชนสืบสวนเรื่อง crypto ได้เผยแพร่ วิดีโอความยาว 31 นาทีบนแพลตฟอร์มโซเชียลมีเดีย X ซึ่งจับภาพ 'vKevin' โดยใช้ Telegram เพื่อฉ้อโกงเงินจากเหยื่อ ในวิดีโอ 'vKevin' ถูกมองว่าร่วมมือกับผู้สมรู้ร่วมคิดในขณะที่มีส่วนร่วมในกิจกรรมฟิชชิ่งที่มีเป้าหมายไปที่เหยื่อที่ไม่สงสัย

นักวิเคราะห์ความปลอดภัย crypto ตอบสนองต่อโพสต์ที่สร้างโดยผู้ใช้ @pcaversaccio ซึ่งเคยเตือนชุมชน crypto เกี่ยวกับกลยุทธ์การหลอกลวงใหม่ใน Telegram ซึ่งเขาอธิบายว่าเป็น “ภัยคุกคามความปลอดภัยที่ใหญ่ที่สุดในขณะนี้”

ภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุดในขณะนี้คือการที่ผู้คนเรียกใช้โค้ดอย่างสุ่มสี่สุ่มห้า เรียกใช้คำสั่งที่ไม่ชัดเจน หรือติดตั้งแอปพลิเคชันเพียงเพราะมีคนสุ่มหรือเว็บไซต์บอกให้ทำ ตัวอย่าง: หยุดใช้คำสั่ง _malicious_ PowerShell เหล่านั้นโดยสุ่มสี่สุ่มห้าเพียงเพราะ... pic.twitter.com/vuBDabQJNY

— sudo rm -rf –no-preserve-root / (@pcaversaccio) 23 มกราคม 2025

การหลอกลวงนี้เกี่ยวข้องกับการหลอกให้เหยื่อตรวจสอบ dent ของพวกเขาผ่านบอท Safeguard ปลอม สิ่งนี้ทำให้แฮกเกอร์สามารถเข้าถึงบัญชี Telegram ของพวกเขาโดยไม่ได้รับอนุญาต และต่อมาก็เข้าถึงกระเป๋าเงินบอทซื้อขายของพวกเขา เมื่อไปถึงที่นั่น ผู้แสวงหาผลประโยชน์สามารถขนทรัพย์สินของเหยื่อออกไปได้ ในบางกรณีอาจสูงถึงหลายแสนดอลลาร์ 

เจ้าหน้าที่สืบสวน dent ว่ามีการหลอกลวงบอต Telegram ที่เป็นอันตรายครั้งใหม่ 

ตามที่ผู้อธิบายสื่อโดยบริษัทรักษาความปลอดภัยบล็อกเชน SlowMist กลโกงป้องกัน Telegram ปลอมนั้นมีวิธีการแทรกซึมอยู่สองวิธี นักหลอกลวงสามารถใช้ประโยชน์จากบอทเพื่อชักชวนผู้ใช้ให้เปิดเผยข้อมูลส่วนตัว รวมถึงรหัสผ่านและรหัสยืนยัน พวกเขายังสามารถฝังไวรัสมัลแวร์เพื่อแฮ็กเข้าสู่คอมพิวเตอร์และขโมยข้อมูลโดยตรง

ใน บทความ ที่ตีพิมพ์เมื่อวันที่ 18 มกราคม SlowMist สรุปว่าผู้ไม่ประสงค์ดีสร้างบัญชีปลอมของผู้นำทางความคิดหลัก (KOL) บน X ได้อย่างไร โดยแนบลิงก์เชิญกลุ่ม Telegram ในความคิดเห็นไปยัง trac มีกลยุทธ์

ผู้ใช้ที่เข้าร่วม "ชุมชน" ผ่านลิงก์จะได้รับการต้อนรับด้วยคำขอสำหรับกระบวนการ "ยืนยัน" หากทำตามขั้นตอนเหล่านี้ เอเจนต์โทรจันการเข้าถึงระยะไกล (RAT) ที่เป็นอันตรายจะปล่อยคำสั่ง PowerShell ที่เป็นอันตรายต่อการติดตั้งการรักษาความปลอดภัย ซึ่งจะทำให้แฮกเกอร์สามารถเข้าถึงระบบโดยไม่ได้รับอนุญาต

หลังจากโพสต์ของ ZachXBT ผู้ใช้รายหนึ่งได้สอบถามว่าแฮ็กเกอร์ 'vKevin' ได้รับการ doxxed หรือไม่ ซึ่ง ZachXBT ยืนยันด้วยคำตอบง่ายๆ ว่า "ใช่" 

เขาจะถือกระเป๋าอยู่ในคุก

(และใช่แล้ว คุณดูน่าเกลียดนะพี่ชาย) pic.twitter.com/DKcomKIk6M

— ImNotTheWolf (@ImNotTheWolf) 23 มกราคม 2025

ในการตอบกลับครั้งหนึ่ง ผู้ใช้แชร์รูปภาพของผู้แสวงประโยชน์ที่ถูกกล่าวหา แม้ว่ารายละเอียดเฉพาะบางอย่าง เช่น ที่ตั้งปัจจุบันของเขาหรือคนที่เขาทำงานด้วย จะยังไม่ได้รับการเปิดเผยก็ตาม

แฮกเกอร์รายเดียวกันนี้มีส่วนรับผิดชอบต่อการละเมิดเซิร์ฟเวอร์ Discord ในปี 2022

vKevin รับผิดชอบต่อ การละเมิดเครือข่าย ซึ่งทำให้ผู้ถือ NFT สูญเสียเงินมากกว่า 300,000 ดอลลาร์ในวันที่ 14 สิงหาคม 2022 การอัปเดตนี้ถูกเปิดเผยโดยผู้ใช้ X @Iamdeadlyz พวกเขาอธิบายว่าแฮ็กเกอร์โจมตี Discord ของ DigikongNFT ได้อย่างไรเมื่อเขาปรับใช้เว็บฮุคในรูปแบบของบอท MEE6 ปลอมภายในเซิร์ฟเวอร์

บอทนี้ได้รับการออกแบบมาเพื่ออำนวยความสะดวกในการโจมตีแบบฟิชชิ่งโดยใช้ bookmarklet เพื่อดึงโทเค็นการรับรองความถูกต้องของ Discord จากผู้ใช้ ไซต์ฟิชชิ่งที่เชื่อมโยงกับการโจมตีนี้โฮสต์อยู่ที่ mee6.ca/verify ซึ่งเป็นโดเมนที่ลงทะเบียนผ่านบริการเว็บ Namecheap และโฮสต์บน AWS ด้วยที่อยู่ IP 23.22.5.68

- เซิร์ฟเวอร์ Discord ของ

@DigikongNFT /famousfoxfedaration.netlify.app

🌐 @Netlify @NetlifySupport

🚩 @ solana fm
3HZmQ7TVkhcuPu5jb349LARJYP8LMVC7U31qsCuYCkso

นักแสดง/ผู้ประสงค์ร้ายคนเดียวกันที่อยู่เบื้องหลังการโจมตี @AI_Roulette

ID @Discord ของผู้เลียนแบบ 852413673053093908 https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW

— iamdeadlyz (@Iamdeadlyz) 14 สิงหาคม 2022

หลักฐานการกระทำของ vKevin ถูกแชร์ในช่องทางทั่วไปของเซิร์ฟเวอร์ Discord แม้ว่าข้อมูลที่ละเอียดอ่อนส่วนใหญ่จะถูกแก้ไขก็ตาม

Namecheap ยืนยันในภายหลังว่าพวกเขาได้ระงับบริการที่ไม่เหมาะสมเพื่อตอบสนองต่อการละเมิดความปลอดภัยนี้ แต่ vKevin และแฮ็กเกอร์รายอื่นได้กำจัดคอลเลกชัน NFT แล้ว

ได้งาน Web3 ที่จ่ายสูงใน 90 วัน: สุดยอดโรดแมป