Операторите, които стоят зад вече несъществуващия Inferno Drainer, са създали повече от 16 000 уникални злонамерени домейна за период от една година между 2022 и 2023 г.
Схемата „използваше висококачествени фишинг страници, за да подмами нищо неподозиращите потребители да свържат своите портфейли с криптовалута с инфраструктурата на нападателите, която подправяше протоколите Web3, за да подмами жертвите да разрешат транзакциите“, се казва в доклад на Group-IB със седалище в Сингапур, споделен с The Hacker News.
Смята се, че Inferno Drainer, който е бил активен от ноември 2022 г. до ноември 2023 г., е пожънал над 87 млн. долара незаконни печалби, като е измамил повече от 137 000 жертви.
Зловредният софтуер е част от по-широк набор от подобни предложения, които са на разположение на афилиатите в рамките на модела „измама като услуга“ (или „дрейнър като услуга“) в замяна на 20% дял от приходите им.
Нещо повече, клиентите на Inferno Drainer могат или да качат зловредния софтуер на собствените си фишинг сайтове, или да се възползват от услугата на разработчика за създаване и хостване на фишинг уебсайтове, като в някои случаи това става без допълнителни разходи или с таксуване на 30 % от откраднатите активи.
Според Group-IB дейността е подправяла до 100 марки криптовалути чрез специално създадени страници, които са били хоствани на над 16 000 уникални домейна.
Допълнителен анализ на 500 от тези домейни разкри, че базираните на JavaScript източващи програми са били хоствани първоначално в хранилище на GitHub (kuzdaz.github[.]io/seaport/seaport.js), преди да бъдат включени директно в уебсайтовете. Потребителят „kuzdaz“ в момента не съществува.
По подобен начин друг набор от 350 сайта включва файл на JavaScript, „coinbase-wallet-sdk.js“, в друго хранилище на GitHub, „kasrlorcian.github[.]io“.
След това тези сайтове бяха разпространени в сайтове като Discord и X (бивш Twitter), примамвайки потенциалните жертви да кликнат върху тях под предлог, че предлагат безплатни токени (известни още като airdrops) и да свържат портфейлите си, при което активите им се източват, след като транзакциите бъдат одобрени.
При използването на имената seaport.js, coinbase.js и wallet-connect.js идеята е била да се маскират като популярни Web3 протоколи като Seaport, WalletConnect и Coinbase, за да завършат неоторизираните трансакции. Най-ранният уебсайт, съдържащ един от тези скриптове, датира от 15 май 2023 г.
„Друга типична особеност на фишинг уебсайтовете, принадлежащи на Inferno Drainer, беше, че потребителите не могат да отворят изходния код на уебсайта с помощта на бързи клавиши или с десен бутон на мишката“, каза анализаторът на Group-IB Вячеслав Шевченко. „Това означава, че престъпниците са се опитали да скрият от жертвите си своите скриптове и незаконна дейност“.
Струва си да се отбележи, че профилът X на Mandiant, собственост на Google, беше компрометиран по-рано този месец, за да разпространи връзки към фишинг страница, хостваща програма за източване на криптовалута, проследена като CLINKSINK.
„Смятаме, че моделът „X като услуга“ ще продължи да процъфтява, не на последно място защото създава по-големи възможности за по-малко технически компетентни лица от това да опитат силите си, за да станат киберпрестъпници, а за разработчиците това е изключително доходоносен начин да подсилят приходите си“, заявиха от компанията пред The Hacker News.
„Очакваме също така да се увеличат опитите за хакване на официални акаунти, тъй като публикациите, за които се твърди, че са написани от авторитетен глас, вероятно вдъхват доверие в очите на зрителите и могат да накарат потенциалните жертви да последват линковете и да свържат акаунтите си.“
Наред с това Group-IB заяви, че успехът на Inferno Drainer може да подхрани разработването на нови дрейнъри, както и да доведе до рязко увеличаване на броя на уебсайтовете, съдържащи злонамерени скриптове, подправящи Web3 протоколи, като отбеляза, че 2024 г. може да се превърне в „годината на дрейнъра“.
„Inferno Drainer може и да е преустановил дейността си, но неговата известност през 2023 г. подчертава сериозните рискове за притежателите на криптовалути, тъй като дрейнърите продължават да се развиват допълнително“, заяви Андрей Колмаков, ръководител на отдела за разследване на престъпления, свързани с високите технологии, на Group-IB.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.