برنامه های معاملاتی جعلی

برنامه های معاملاتی جعلی رو به افزایش است و به یک پایگاه گسترده تر قربانی جهانی نسبت به گذشته گسترش می یابد.

در کلاهبرداری های رمزنگاری به تنهایی ، در سال 2021 ، این رقم بیش از 7 میلیارد دلار بود. بیایید نگاهی به برخی از تاکتیک های مشترک و علائم داستان بگوییم که به شما در مشاهده کلاهبرداری کمک می کند.

کلاهبرداری های برنامه معاملاتی جعلی شامل هر دو سیستم عامل تنظیم شده جریان اصلی و راه اندازی های جدید و تنظیم نشده رمزنگاری شده است.

بیایید نگاهی به استاندارد یک مثال در دنیای واقعی بیندازیم: یک برنامه مخرب از زیرساخت های کنترل شده توسط مهاجم.

سکوی معاملاتی جعلی وانمود می کند که Eartimate Platform Epoch Financial است

طرح کلی

Silent Push یک بازیگر تهدید را که از طریق چندین وب سایت ، برنامه های Android و iOS با نسخه های تقلبی از سیستم عامل های تجاری در بازار سهام سنتی و در انواع مبادلات رمزنگاری ، کشف کرده است ، کشف کرده است.

بسترهای تجاری جعلی جعلی از سازمان های مالی مشهور تقلید می کنند - از جمله مانند بورس اوراق بهادار استرالیا (ASX) ، Coinbase ، CoinSmart ، Etoro و Nasdaq - قربانیان مظنون به اعتماد به خدمات خود را فریب می دهند ، فقط برای سرقت سرمایه گذاری های خود.

این گروه خاص از افراد بی شماری در سراسر جهان پول کلاهبرداری و سرقت کرده است. ما تحقیقات بزرگی انجام داده ایم ، و صدها شاخص سازش (IOC) و همچنین گزارش هایی از قربانیان را که به ما امکان می دهد زیرساخت های آنها را نقشه برداری کنیم و الگویی از وقایع را جمع آوری کنیم که مجموعه مشترکی از بردارهای حمله را نشان می داد ، انجام داده ایم.

تصویر 1 - نمونه ای از صفحه بارگیری برنامه NASDAQ کلاهبرداری

مشخصات و تاریخ بازیگر تهدید

اگرچه ما قادر به مشخص کردن تاریخی نیستیم که این گروه تهدید فعالیت خود را آغاز کند ، می توانیم تأیید کنیم که چندین مورد فعال از زیرساخت های مخرب در اوایل سال 2021 مستقر شده است.

ما همچنین به گزارش هایی دسترسی داریم که چندین وقایع را با ویژگی های مشابه با این گروه ، در حدود آن دوره زمانی توصیف می کند.

با توجه به اینکه این قربانیان در کشورهای آسیایی واقع شده اند و تعداد کمی از وب سایت ها را که به گویش های آسیایی نوشته شده اند پیدا کردیم ، فقط می توانیم فرض کنیم که این بازیگر تهدید در آسیا واقع شده است.

به نظر می رسد پس از تجزیه و تحلیل زیرساخت های فعلی خود ، سازمان های آمریکایی و اروپایی در بیشترین خطر قرار دارند.

نسخه چینی از یک بستر معاملاتی جعلی که یک برند مشهور را جعل می کند

طراحی سکو

یک الگوی بصری در اکثر وب سایتهایی که مورد بررسی قرار داده ایم مشهود است.

با وجود داشتن مارک های مختلف ، صفحات به همان روش ساختار یافته اند: یک وب سایت اولیه شبیه به نمونه نمایش داده شده در زیر وجود دارد که به عنوان یک صفحه فرود برای جذب قربانیان بالقوه استفاده می شود.

از این وب سایت ، بازدید کنندگان قادر به حرکت به یکی از دو صفحه زیر هستند:

- صفحه بارگیری برنامه ، مشابه صفحه نمایش داده شده در تصویر 1 ؛- صفحه ورود به وب سایت ، که در آن کاربران می توانند در یک حساب ثبت نام و وارد سیستم شوند.

ما معتقدیم که این یک جایگزین وب برای برنامه است ، که به کاربران امکان می دهد وجوه را معامله کرده و شاخص های سهام جعلی را تجزیه و تحلیل کنند ، همانطور که در تصویر 3 قابل مشاهده است.

این در مدل جرم و جنایت به عنوان یک سرویس با سکوی کلاهبرداری که توسط ارائه دهندگان وابسته مختلف توزیع می شود ، متناسب است.

تصویر 3 - مثال محتوای برنامه معاملاتی جعلی

گزارش های قربانیان

ما شکایات زیادی در مورد این عامل مخرب در اینترنت پیدا کردیم. همانطور که گمان می شود ، اکثر آنها توسط افراد کلاهبرداری بلکه توسط افرادی که مایل به کنار گذاشتن این سازمان هستند ، نوشته شده است.

تعامل اولیه با بازیگران تهدید به دلیل یک طرح وابسته احتمالی متفاوت است. ما گزارش های مختلفی از کلاهبرداری های عاشقانه (از این رو سوفوس که از این به عنوان رمزنگاری است) گرفته تا توصیه های انجمن دیده ایم.

مقدمه اولیه و مکالمه حاصل از آن ، قربانی سرانجام پول را به حساب جعلی وارد می کند.

متأسفانه ، هنگامی که قربانی سعی کرد پول را پس بگیرد ، می بینند که خود را از حساب خود خارج کرده و قادر به ورود به سیستم نیستند ، در حالی که بازیگران تهدید بودجه خود را نگه می دارند و هدف بعدی را برنامه ریزی می کنند.

ما پیام های مشابهی را در وب سایت های مختلف و همچنین اطلاعیه هایی از برخی از FinTechs گزارش این طرح سرقت پیدا کردیم.

پیام های مربوط به کلاهبرداری در وب سایت Forexpeacearmy

فرآیند نصب

هدف اصلی دستگاه های تلفن همراه است.

بازیگران تهدید کاربران را ترغیب می کنند تا یک برنامه تلفن همراه یا یک برنامه وب را بارگیری کنند ، با لینک های بارگیری برای iOS و Android.

به نظر می رسد که مهاجمان از دو راه اصلی برای دستیابی به فرآیند تأیید اپل سوءاستفاده می کنند:

اولین مورد با ایجاد یک پروفایل پیکربندی انجام می شود ، که یک پرونده . mobileconfig است که به راحتی می توان به اشتراک گذاشت.

مورد دوم از طریق TestFlight ، ابزاری ایجاد شده توسط اپل است که به توسعه دهندگان اجازه می دهد تا برنامه های خود را آزمایش کنند و نسخه های بتا برنامه های جدید را بدون مواجهه با پروتکل های تأیید شدید موجود در فروشگاه اپل ارائه دهند. برنامه های TestFlight به بارگیری های عمومی تا 10،000 حساب اجازه می دهد.

وقتی صحبت از کاربران Android می شود ، یک فایل . APK با نام متناسب با وب سایت خاص بارگیری می شود.

تجزیه و تحلیل دقیق اطلاعات مبهم را با استفاده از ترکیبی از StringFog ، Base 64 و یک عمل XOR برای رمزگذاری داده های مشکوک نشان می دهد.

استفاده از فشار خاموش برای مقابله با زیرساخت های مخرب

با در نظر گرفتن همه چیز ، ما اطمینان داریم که این بازیگر تهدید به منظور بهره برداری و سرقت وجوه ، به توسعه و توزیع سیستم عامل های معاملاتی ادامه خواهد داد.

همانطور که انتظار می رود با یک برنامه وابسته ، روش های تحویل متفاوت باشد. ما توصیه می کنیم دسترسی به زیرساخت های بارگیری برنامه اصلی و استفاده از اطلاعات تهدید فعال را برای مشخص کردن دامنه های مخرب و زیرساخت های DNS مسدود کنید.

با توجه به این نکته ، ما لیست گسترده ای از IOC را جمع آوری کرده ایم ، که برای مشتریان فشار ساکت پرداخت شده در دسترس است.

کاربران پرداخت شده به پرس و جوهای قابل تنظیم از پیش ساخته شده دسترسی دارند که به آنها امکان می دهد قبل از ایجاد مشکل ، زیرساخت های مخرب را شناسایی کنند ، و همچنین دسترسی به گرانول WHOI ، سرور و اطلاعات DNS و نمرات ریسک تنظیم شده.

امروز با ما در تماس باشید تا دریابید که چگونه فشار خاموش می تواند به مبارزه با برنامه های معاملاتی جعلی و کلاهبرداری سرمایه گذاری کمک کند.