Cryptonews

Кибератака на стейкхаус отражена, активы клиентов остались нетронутыми

Источник
cryptonewstrend.com
Опубликовано
Кибератака на стейкхаус отражена, активы клиентов остались нетронутыми

30 марта 2026 года хакеры временно взломали веб-сайт Steakhouse Financial, перенаправив пользователей на вредоносную фишинговую страницу. Манипулируя сотрудниками службы поддержки OVHcloud, злоумышленникам удалось обойти важные меры безопасности, воспользовавшись уязвимостью, которая позволяла им выдавать себя за владельца учетной записи и убедительно предоставлять личные данные для прохождения процесса проверки по телефону. Это заставило агента службы поддержки OVH отключить аппаратную двухфакторную аутентификацию учетной записи, предоставив злоумышленникам беспрепятственный доступ.

Получив доступ, хакеры быстро развернули автоматизированные сценарии, удалив все дополнительные устройства аутентификации и подключив свои собственные за считанные секунды — явный признак тщательно спланированной операции. Затем злоумышленники ловко перенаправили серверы имен домена на свои собственные серверы и перенастроили записи A сайта, чтобы они указывали на поддельную версию веб-сайта Steakhouse, хитроумно размещенную на Hostinger. Этот клонированный сайт был оснащен вредоносным ПО, опустошающим кошельки, связанным с пресловутой Inferno Drainer, организацией, предоставляющей услуги «слив как услуга».

Чтобы еще больше легализовать фишинговый сайт, злоумышленники быстро приобрели сертификаты Let's Encrypt TLS, сделав сайт практически неотличимым от подлинного веб-сайта Steakhouse для стандартных веб-браузеров. Однако расширения кошельков от Phantom, MetaMask и Rabby быстро пометили сайт как вредоносный и самостоятельно забили тревогу.

Команда Steakhouse Financial приступила к действиям после обнаружения несанкционированного уведомления об изменении адреса электронной почты в 08:47 UTC и оперативно связалась с OVH, чтобы сообщить об инциденте. Фишинговый сайт заработал вскоре после этого, в 09:59 UTC, что побудило команду выпустить публичное предупреждение по X к 10:34 UTC. Альянс безопасности (SEAL) был незамедлительно задействован в 11:25 UTC, пока атака еще продолжалась.

Неустанно работая по нескольким направлениям, команда занималась восстановлением учетных записей, анализом DNS и отменой передачи. Злоумышленники инициировали исходящую передачу домена, но пятидневная блокировка передачи ICANN предоставила команде решающее время для отмены передачи. Команда напрямую связалась с Hostinger, который впоследствии подтвердил, что аккаунт-нарушитель был заморожен и закрыт. К 12:56 UTC команда успешно восстановила контроль над учетной записью OVH, а службы DNS были полностью восстановлены примерно к 13:55 UTC.

После этого Steakhouse Financial подтвердила, что к 1 апреля все домены можно было безопасно использовать. С тех пор компания приняла превентивные меры, перейдя на регистратора, который поддерживает многофакторную аутентификацию с использованием аппаратных ключей и блокировки на уровне регистратора, а также внедрила непрерывную систему мониторинга DNS для бдительного наблюдения за всеми доменами Steakhouse в режиме реального времени. Кроме того, для всех поставщиков цепочки поставок устанавливается комплексный процесс проверки безопасности поставщиков.

Адриан Качинеро Васильевич, партнер Steakhouse Financial, ответственный за операции, принес личные извинения, признав, что выявление этого вектора атаки является его обязанностью, и пообещал инициировать дальнейшие усилия по усилению безопасности. Этот инцидент служит суровым напоминанием о развивающихся угрозах в криптоландшафте и важности надежных мер безопасности для защиты от изощренных атак социальной инженерии.