Digitale lommebøker er ikke lenger et trygt sted

Hvis tap av en digital lommebok tidligere ofte skyldtes at brukere ved et uhell avslørte sin private nøkkel, har hackere nå laget verktøy for å «hjelpe» brukere med å donere eiendelene sine uten å vite det.

To nylige høyprofilerte hendelser som illustrerer denne trenden er fremveksten av ondsinnede utvidelser og APT-kampanjer rettet mot personell i blokkjedeindustrien.

TheHackerNews rapporterte at sikkerhetsmiljøet i midten av november 2025 ble sjokkert over oppdagelsen av en Chrome-nettleserutvidelse kalt «Safery: Ethereum Wallet». Denne utvidelsen, forkledd som en sikker og fleksibel Ethereum-lommebok, er faktisk en sofistikert designet «blodsugende maskin».

Ifølge sikkerhetsforskere i «Safery» bruker cyberangripere blokkjedeteknologi for å skjule forbrytelsene sine. Mer spesifikt, når brukere skriver inn gjenopprettingsfrasen (seedphrase) i denne falske lommeboken, vil skadevaren kryptere frasen til lommebokadresser på Sui-nettverket (Sui blockchain).

Oppdagelser fra Kaspersky viser at de ikke bare angriper vanlige brukere. Den beryktede nettkriminalitetsgruppen BlueNoroff (også kjent som Sapphire Sleet eller APT38) har også tatt i bruk to nye målrettede angrepskampanjer, GhostCall og GhostHire, som er rettet direkte mot programmerere og ledere innen Web3-feltet.

I GhostCall-kampanjen kontaktet hackere mål via Telegram og utga seg for å være venturekapitalister. Den skumle delen var den omfattende sosiale manipuleringen: de inviterte ofrene til å delta i videomøter på falske nettsteder som Zoom eller Microsoft Teams.

Når ofrene deltar, vil de se videoer av andre deltakere. Dette er faktisk ikke Deepfakes, slik mange feilaktig tror, ​​men ekte lyd-/videoopptak av tidligere ofre som ble stjålet av hackere.

Denne «autentisiteten» gjør at ofrene senker garden og enkelt laster ned falske «oppdateringer» som inneholder skadelig AppleScript (for macOS) eller skadelige kjørbare filer (for Windows).

I tillegg har bruken av QR-koder tatt en ny form, ved å legge inn QR-koder i PDF-vedlegg. Disse PDF-ene er noen ganger passordbeskyttet (passordet sendes i en e-post eller en separat e-post) for å omgå automatiserte virusskanningsverktøy.

Skanning av QR-koder tvinger brukere til å bruke sine personlige mobile enheter – som ofte mangler den samme robuste sikkerhetsbeskyttelsen som bedriftsdatamaskiner – for å få tilgang til falske phishing-nettsteder.

Sikkerhetsforskere hos Kaspersky viste en bemerkelsesverdig teknikk der hackere lager falske innloggingssider (f.eks. utgir seg for å være pCloud-lagringstjenesten) som er i stand til sanntidsinteraksjon med den virkelige tjenesten via API.

Når en bruker skriver inn innloggingsinformasjonen og engangskoden sin på det falske nettstedet, videresender nettstedet umiddelbart disse dataene til den virkelige tjenesten. Hvis informasjonen er riktig, vil hackeren ta over innloggingsøkten før brukeren i det hele tatt innser det.

I tillegg har hackere satt opp «verifiseringskjeder» for å unngå å bli oppdaget og analysert av sikkerhetsfiltre for phishing-nettsteder. Når brukere klikker på lenken, må de gå gjennom mange lag med CAPTCHA-autentiseringskoder eller falske verifiseringssider før de kommer til destinasjonssiden (falsk Google/Microsoft-innloggingsside). Dette filtrerer både ut automatiserte verifiseringsroboter og skaper en falsk tillit hos brukerne til at nettstedet er fullstendig sikkert.

Farene ved phishing forsterkes av «Phishing-as-a-Service»-modellen, noe Googles nylige søksmål mot hackerne bak Lighthouse-plattformen viser.

For investorer er rådet «ikke del dine private nøkler» ikke lenger nok. Kaspersky-eksperter sier at det å nøye sjekke opprinnelsen til utvidelser, være forsiktig med invitasjoner til nettmøter eller uventede jobbtilbud, og være forsiktig med påloggingsforespørsler fra e-poster (selv med PDF- eller CAPTCHA-beskyttelse) er obligatoriske overlevelsesevner i denne digitale tidsalderen full av feller.

Kilde: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html