Принцип работы и функционал программ-реплик полностью совпадал настоящими кошельками, кроме попыток получить доступ к seed-фразе или файлу ключа, прикрываясь различными уловками в виде сбоя или необходимости дополнительной идентификации.
Введенные данные и пароли передавались на сервер злоумышленника, но кража средств происходила не сразу. Аналитик безопасности MyCrypto Гарри Денли, обнаруживший эти файлы в Google Chrome, выдвинул две версии, объясняющие отсрочку.
Первая – хакера интересуют крупные депозиты, мелкие балансы не были затронуты, чтобы раньше времени не «засветить» вредонос. Вторая – злоумышленник по каким-то причинам не смог автоматизировать изъятие криптовалюты.
Гарри Денли не сомневается в единоличном авторстве всех 49-ти вредоносных программ, определенным по характерным признакам кода, способам похищения пароля и серверам, на который они поступали.
Исследователь MyCrypto прогнозирует еще одну волну масштабной фишинговой атаки, призывая пользователей быть бдительными, сообщать о мошенничестве или случаев кражи криптовалюты на портал CryptoScamDB.