Misdaadgroep Water Labbu breekt in bij fraudewebsites om kwaadaardige JavaScript-code te injecteren en cryptocurrency van slachtoffers te stelen.

De Amerikaanse FBI publiceerde in juli een waarschuwing over een fraudevorm waarbij cybercriminelen zich voordoen als liquidity mining services om cryptocurrency van slachtoffers stelen.

Liquidity mining is een proces waarbij investeerders cryptocurrency uitlenen aan een cryptobeurs in ruil voor vergoedingen. De fraudeurs waarvoor de FBI waarschuwde doen legitieme liquidity mining-dienstverleners na. Securityonderzoekers ontdekten onlangs dat hackgroep Water Labbu de websites van dergelijke fraudeurs hackt om slachtoffers via schadelijke JavaScript-code te beroven.

Water Labbu komt nooit in contact met de slachtoffers. De groep laat het social engineering-werk over aan de oplichters. Wanneer een potentiële belegger zijn portemonnee verbindt met een fraudewebsite komt het kwaadaardige script van Water Labbu in actie. Het script spoort cryptotransacties op om investeringen te stelen. Volgens analisten heeft Water Labbu minstens 45 fraudewebsites gehackt.

Water Labbu

De hackgroep vindt fraudesites en mengt de kwaadaardige scripts moeiteloos met de HTML-codering. “In een van geanalyseerde gevallen injecteerde Water Labbu een IMG-tag om een Base64-gecodeerde JavaScript payload op te halen”, beschreef securitybedrijf Trend Micro in een rapport. “Het proces staat bekend als de ‘XSS evasion technique’, waarmee hackers Cross-Site Scripting (XSS)-filters omzeilen.”

Het script monitort de wallets die verbonden zijn met de fraudewebsites en haalt gevoelige informatie van slachtoffers op, waaronder namen, adressen, saldo’s en inloggegevens voor Ethereum wallets. Water Labbu focust op individuen met meer dan 22.000 USDT (Tether) of 0,005 ETH (Ethereum). Het kwaadaardige script controleert cryptotransacties om ervoor te zorgen dat het doelwit aan de criteria voldoet. Vervolgens bepaalt Water Labbu of het slachtoffer Windows, iOS of Android gebruikt.

In het geval van iOS en Android stuurt het kwaadaardige script verzoeken om goedkeuring van transacties. Zodra het slachtoffer akkoord gaat maakt de aanvaller het geld over naar een adres van Water Labbu. Slachtoffers die Windows gebruiken krijgen een Flash Player-updatemelding op de fraudewebsite. Het Flash-installatieprogramma is een backdoor die rechtstreeks van GitHub wordt gehaald. Hackers gebruiken de backdoor om cryptocurrency wallets en cookies te stelen. Hierdoor verliest het slachtoffer alles.

Onderzoekers adviseren gebruikers van liquidity mining-diensten om de diensten zorgvuldig te onderzoeken. Eigenaren van crypto wallets doen er goed aan om regelmatig te controleren of er verdachte verbindingen met de wallet worden gemaakt.

Tip: Group-IB spoort massanetwerk van investeringsfraudeurs op