Scam Telegram: мое новое и самое большое расследование Читать тут: https://timsh.org/scam-telegram-investigation Несколько месяцев назад я искал сообщество одного DeFi протокола в тг и обнаружил несколько поддельных групп с названиями <Protocol> Official / Support. Мне стало интересно: в чем цель этих поддельных групп? Покопавшись в истории чата, вложениях и ссылках, я обнаружил подозрительную ссылку на “платформу для решения проблем” с такой инструкцией: “Зависли деньги? Не беда! Подключи свой кошелек вот тут, и твоя проблема будет решена”. Поковырявшись в коде сайта и сымитировав подключение своего кошелька, я обнаружил, что на этом сайте размещен Drainer, - вид js-вируса, главная цель которого - украсть все деньги с кошелька жертвы. Сразу после этого я решил проверить: нет ли других таких же фейковых групп, имитирующих официальные чаты других протоколов. Есть. Более того, как я увидел в дальнейшем, - они есть у каждого протокола из топ100 по TVL на DefiLlama (т.е., у топа крупнейших протоколов по кол-ву вложенных в них денег). Пока я искал и отсматривал чаты руками, я заметил, что у некоторых, как бы никак не связанных между собой чатов, один и тот же админ / модератор - в реальности, естественно, такое невозможно, - разве что 3 крупнейших протокола наняли себе одного и того же комьюнити менеджера ) Поэтому я решил собрать побольше данных и поискать и другие такие связи между чатами: вдруг всеми ними управляет одна или несколько групп преступников? Я написал телеграм-парсер, который затем добавил в ~80 найденных на тот момент чатов, и собрал все сообщения, активных пользователей и метаданные, которые смог. Поковыряв их pandas’ом в течение пары дней, я убедился, что так и есть: практически у всех чатов был админ, которые также админил как минимум в одном другом чате. Примерно в этот момент я понял, что чтобы копнуть еще грубже и найти больше доказательств, мне может пригодится помощь кого-то, кто занимается этим профессионально. Так что я выложил пост, в котором написал, что ищу желающих помочь мне поанализировать эти данные и дальше и составить разные графические репрезентации этой сети чатов. Мне повезло: среди моей аудитории нашлись аналитики-графомами (хаха), и, более того, мне написал супер граф-профи iggisv9t @sv9t_channel, на которого я был подписан давным давно, и предложил помочь покрутить все эти графы. И еще как помог! Без него я бы не смог сделать все крутые картинки, которые вы увидите в посте. Так как еще мне была нужна помощь с реверс-инжинирингом js-кода вируса, я написал в чат @ETHSecurity, в котором последнее время часто зависаю, и буквально за день нашел несколько безопасников, которые помогли мне подобрать правильные инструменты и разобрать код на 80%+. Пока мы обсуждали, что за вид дрейнера я нашел в этих чатах, мой анонимный собеседник предложил познакомить меня с администратором SEAL - наверное, самой известной и уважаемой НКО в мире криптовой кибербезопасности, которая занимается сбором данных о всех обнаруженных вирусах и путях их распространения, и помогает кошелькам вроде MetaMask и другим компаниям (например, Cloudflare) оперативно блокировать вредоносные сайты. Пообщавшись немного с их админом, я выяснил, что вирус, который я нашел, - разновидность Inferno Drainer, самого жесткого Drainer-As-A-Service последних лет. Админ сразу очень заинтересовался происхождением этого скрипта, я рассказал ему о своем расследовании, и он предложил мне присоединиться к SEAL и воспользоваться их помощью и инструментами, чтобы увеличить размах и глубину расследования. Как-то так - теперь я волонтерю в SEAL, и вместе мы доработали мой телеграмовый парсер, нашли больше 4к этих фейковых групп и забанили десятки тысяч вредоносных сайтов, которые распространяют дрейнеры. Естественно, я сразу же втянулся в несколько других активных расследований - так что ждите новых постов, а пока читайте гига-статью и наслаждайтесь красивыми картинками!