Как виртуозно украсить $243m и попасться

Эта история о том, как Гривис (Мэлоун Айам), Виз (Вир Четал) и Box/Бокс (Жандиэль Серрано) украли $243м у жертвы в августе с помощью сложнейшей атаки с использованием социальной инженерии.

19 августа 2024 года злоумышленники нацелились на одного кредитора Genesis:

1) Звонок от имени службы поддержки Google с поддельного номера с целью взлома личных аккаунтов

2) Звонок в службу поддержки Gemini с заявлением о взломе аккаунта

3) Социальная инженерия заставила жертву сбросить 2FA и отправить средства Gemini на взломанный кошелек

4) Жертва использовала AnyDesk для совместного использования экрана и слила приватные ключи из Bitcoin Core.

Gemini txn хэш
59,34 BTC — 19 августа в 1:48 UTC

e747b963a463334c164b0a8fff844f73693272bb2b331adbe2147d70ec196360

14,88 BTC — 19 августа в 2:30
UTC

7c7ebed785f0b4d4335d559b14b8215862fbe29db329e3ee0f2a7e64a16ce9e3

txn хэш
4064 BTC — 19 августа в 4:05 UTC

4b277ba298830ea538086114803b9487558bb093b5083e383e94db687fbe9090

Первоначальный анализ показал, что $243m были разделены между каждой из сторон, после чего средства быстро распределились по более чем 15 биржам, где они мгновенно обменивались между Bitcoin, Litecoin, Ethereum и Monero.

Виз (Вир) получил большой процент от кражи но слабоумие и отвага позволила допустить ошибку во время демонстрации экрана, раскрыв свое полное имя во время кражи.

Сообщники называли его Виром в аудиозаписях и в чатах, отдельный респект им за конспирацию

$34,5m
0x3c7a5f2795e73d2b94a9120a643f608cfc45c935

6Друг Виза Light/Dark (Аакааш) помог ему отмыть деньги с помощью eXch и Thorswap.

Как и Wiz, он также раскрыл свое имя во время демонстрации экрана.

Адрес Wiz TC подтвержден в видео
0xa212d7441fed6db9ab666ba34e8c4

Гривис (Мэлоун) ведет роскошный образ жизни, покупая на украденные деньги более автомобили и посещая клубы в Лос-Анджелесе и Майами с друзьями, тратя $250–500k за ночь и раздавая девушкам сумки Birkin.

В видеороликах и в чатах многие называли его Мэлоуном и говорили, что он занимается торговлей украденными средствами в Discord.

В настоящее время $3,5m привязанные к Гривису, находятся здесь
0x21d7d256be564191a43553e574c06a4d0

Гривиса удалось найти с помощью OSINT в Лос-Анджелесе/Майами благодаря друзьям/девушкам, которые каждую ночь публиковали его местонахождение в социальных сетях.

У него также есть аккаунт в Instagram, где в начале этого года он выкладывал свои фотографии под своим именем.

Box (Джандиэль/Джон) сыграл свою роль, назвав жертву представителем биржи Gemini.

На Discord, Telegram и других платформах Box повторно использует один и тот же PFP.

В настоящее время $18m, находятся здесь
0x98b0811e2cc7530380caf1a17440b18f71f51f4e

Дэнни Траума (датчанин) был активен во внутреннем чате Telegram под псевдонимом Мич, хотя его точная роль не совсем ясна, хотя известно, что у него есть доступ к нескольким базам данных о банкротстве.

Однако его бывшая девушка слила все его фотографии в социальные сети, так что его информация стала общедоступной.

За последние несколько недель кластер адресов Ethereum, привязанных к Box/Wiz, получил более $41m от двух бирж, которые торгуют предметами роскоши.

Хотя большая часть средств была конвертирована в XMR, и Box, и Wiz случайно связали отмытые средства.

а) Во время демонстрации экрана Виз показал адрес, на который он отправлял средства на дизайнерскую одежду

б) Бокс связал грязные бабки с чистыми средствами, случайно повторно используя адрес депозита.

0x6d865235ebb2504d3478fc1dd839100d210144df

12/ При содействии команды безопасности, и отдела кибер преступлений и Binance было заморожено более $9m, а более $500k уже возвращены.

В результате расследования Бокс и Гривис были арестованы вчера вечером в Майами и Лос-Анджелесе.

Предполагают, что правоохранительные органы изъяли дополнительные средства во время арестов из-за крупных переводов в тот период

https://x.com/zachxbt/status/1836753473343259058?s=46&t=0kEtp7M29ov5IRUYfIeIlQ