Търсене
Close this search box.

Операторите, които стоят зад вече несъществуващия Inferno Drainer, са създали повече от 16 000 уникални злонамерени домейна за период от една година между 2022 и 2023 г.

Схемата „използваше висококачествени фишинг страници, за да подмами нищо неподозиращите потребители да свържат своите портфейли с криптовалута с инфраструктурата на нападателите, която подправяше протоколите Web3, за да подмами жертвите да разрешат транзакциите“, се казва в доклад на Group-IB със седалище в Сингапур, споделен с The Hacker News.


Смята се, че Inferno Drainer, който е бил активен от ноември 2022 г. до ноември 2023 г., е пожънал над 87 млн. долара незаконни печалби, като е измамил повече от 137 000 жертви.

Зловредният софтуер е част от по-широк набор от подобни предложения, които са на разположение на афилиатите в рамките на модела „измама като услуга“ (или „дрейнър като услуга“) в замяна на 20% дял от приходите им.

Нещо повече, клиентите на Inferno Drainer могат или да качат зловредния софтуер на собствените си фишинг сайтове, или да се възползват от услугата на разработчика за създаване и хостване на фишинг уебсайтове, като в някои случаи това става без допълнителни разходи или с таксуване на 30 % от откраднатите активи.

Според Group-IB дейността е подправяла до 100 марки криптовалути чрез специално създадени страници, които са били хоствани на над 16 000 уникални домейна.


Допълнителен анализ на 500 от тези домейни разкри, че базираните на JavaScript източващи програми са били хоствани първоначално в хранилище на GitHub (kuzdaz.github[.]io/seaport/seaport.js), преди да бъдат включени директно в уебсайтовете. Потребителят „kuzdaz“ в момента не съществува.

По подобен начин друг набор от 350 сайта включва файл на JavaScript, „coinbase-wallet-sdk.js“, в друго хранилище на GitHub, „kasrlorcian.github[.]io“.

След това тези сайтове бяха разпространени в сайтове като Discord и X (бивш Twitter), примамвайки потенциалните жертви да кликнат върху тях под предлог, че предлагат безплатни токени (известни още като airdrops) и да свържат портфейлите си, при което активите им се източват, след като транзакциите бъдат одобрени.

При използването на имената seaport.js, coinbase.js и wallet-connect.js идеята е била да се маскират като популярни Web3 протоколи като Seaport, WalletConnect и Coinbase, за да завършат неоторизираните трансакции. Най-ранният уебсайт, съдържащ един от тези скриптове, датира от 15 май 2023 г.

„Друга типична особеност на фишинг уебсайтовете, принадлежащи на Inferno Drainer, беше, че потребителите не могат да отворят изходния код на уебсайта с помощта на бързи клавиши или с десен бутон на мишката“, каза анализаторът на Group-IB Вячеслав Шевченко. „Това означава, че престъпниците са се опитали да скрият от жертвите си своите скриптове и незаконна дейност“.

Струва си да се отбележи, че профилът X на Mandiant, собственост на Google, беше компрометиран по-рано този месец, за да разпространи връзки към фишинг страница, хостваща програма за източване на криптовалута, проследена като CLINKSINK.

„Смятаме, че моделът „X като услуга“ ще продължи да процъфтява, не на последно място защото създава по-големи възможности за по-малко технически компетентни лица от това да опитат силите си, за да станат киберпрестъпници, а за разработчиците това е изключително доходоносен начин да подсилят приходите си“, заявиха от компанията пред The Hacker News.

„Очакваме също така да се увеличат опитите за хакване на официални акаунти, тъй като публикациите, за които се твърди, че са написани от авторитетен глас, вероятно вдъхват доверие в очите на зрителите и могат да накарат потенциалните жертви да последват линковете и да свържат акаунтите си.“

Наред с това Group-IB заяви, че успехът на Inferno Drainer може да подхрани разработването на нови дрейнъри, както и да доведе до рязко увеличаване на броя на уебсайтовете, съдържащи злонамерени скриптове, подправящи Web3 протоколи, като отбеляза, че 2024 г. може да се превърне в „годината на дрейнъра“.

„Inferno Drainer може и да е преустановил дейността си, но неговата известност през 2023 г. подчертава сериозните рискове за притежателите на криптовалути, тъй като дрейнърите продължават да се развиват допълнително“, заяви Андрей Колмаков, ръководител на отдела за разследване на престъпления, свързани с високите технологии, на Group-IB.

 

Източник: The Hacker News

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
30/11/2024

Загубите от хакове и измами...

През ноември загубите на криптовалута от...
27/11/2024

Операция „Серенгети“: 1006 ...

Интерпол арестува 1006 заподозрени в Африка...
27/11/2024

Фишинг кампании атакуват ен...

Кибератаките са насочени към потребителите на...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!