Il mondo delle criptovalute, nonostante le sue promesse di guadagni rapidi e facili, è spesso un terreno fertile per le truffe. Una di queste, di proporzioni enormi, è stata recentemente scoperta e analizzata. Il team Impulse, un attore minaccioso di lingua russa, ha orchestrato una truffa di criptovalute su larga scala coinvolgendo più di mille siti web gestiti da vari affiliati. Questa truffa, in corso dal 2021, ha probabilmente causato la perdita di migliaia di dollari a persone in tutto il mondo.
La scoperta della truffa
La truffa è stata scoperta durante un’indagine su un singolo sito web che eseguiva una truffa di criptovalute comune. Tuttavia, scavando più a fondo, si è scoperto che questo sito web era solo uno di una vasta rete di siti web fraudolenti, tutti gestiti da un attore minaccioso noto come “Impulse Team”. Sono stati scoperti più di mille siti web che condividono lo stesso tipo di contenuto fraudolento, tutti collegati attraverso un programma di affiliazione gestito dal team Impulse chiamato “Impulse Project”. Questa vasta campagna ha probabilmente portato a truffare migliaia di persone in tutto il mondo.
Il funzionamento della truffa
La truffa funziona tramite una frode avanzata che coinvolge il convincimento delle vittime a credere di aver vinto una certa quantità di criptovaluta. Tuttavia, per ottenere le loro ricompense, le vittime devono pagare una piccola somma per aprire un account sul loro sito web. Tutti gli indicatori di compromissione sono stati condivisi con CloudFlare, che ha riconosciuto di averli ricevuti.
L’indagine iniziale
L’indagine è iniziata con un messaggio privato diffuso su Twitter da un account creato con il solo scopo di attirare le persone a visitare un sito web specifico: varbytrade[.]com. L’account è stato successivamente chiuso.
Una costellazione di siti web
Scavando ulteriormente, sono stati scoperti molti siti web, tutti con contenuti simili, che eseguono la stessa truffa. Mentre i siti web mostrano alcune variazioni nei loro template, si è sicuri nel menzionare che sono tutti collegati. L’indagine ha concluso con oltre mille domini collegati a questa frode, creati nel periodo da gennaio 2021 a maggio 2023. Inoltre, sono stati trovati alcuni domini fraudolenti legSottotitolo H2: Il programma di affiliazione Impulse Project
Tutti i siti web incontrati appartengono a un programma di affiliazione, chiamato Impulse Project, che è stato pubblicizzato su alcuni forum cybercriminali di lingua russa. Per far parte del progetto, i nuovi affiliati devono contattare il team Impulse e iscriversi al servizio. Non siamo riusciti a trovare informazioni riguardo le tariffe applicate dall’attore minaccioso, ma generalmente l’adesione a questi tipi di programmi richiede una quota. Inoltre, una percentuale di ogni transazione fraudolenta va ai mandanti.
Il sito web falso scam-doc
Durante la nostra indagine, siamo riusciti a trovare un sito web che non corrispondeva agli altri. Un dominio chiamato scam-doc[.]com, una parodia di un legittimo strumento web (scamdoc.com) che verifica l’autenticità dei siti web, era stato registrato da un indirizzo email che era stato utilizzato anche per registrare alcuni degli altri siti web di truffa di criptovalute.
Attività sui social network
Finora, abbiamo mostrato screenshot dell’attività fraudolenta diffusa su Twitter. Tuttavia, questa non è l’unica piattaforma che gli attori minacciosi utilizzano per pubblicizzare le loro operazioni: abbiamo anche trovato video online e annunci su altri social network come TikTok.
Perdite finanziarie per le vittime
Siamo riusciti ad accedere a un canale Telegram pubblico che funge da sistema di registrazione per la truffa del progetto Impulse. Questo canale viene alimentato da bot che aggiungono messaggi non appena una vittima deposita un pagamento in criptovaluta.