Търсене
Close this search box.

Зловредният софтуер Inferno се маскира като Coinbase и източва 87 милиона долара от 137 000 жертви

Операторите, които стоят зад вече несъществуващия Inferno Drainer, са създали повече от 16 000 уникални злонамерени домейна за период от една година между 2022 и 2023 г.

Схемата „използваше висококачествени фишинг страници, за да подмами нищо неподозиращите потребители да свържат своите портфейли с криптовалута с инфраструктурата на нападателите, която подправяше протоколите Web3, за да подмами жертвите да разрешат транзакциите“, се казва в доклад на Group-IB със седалище в Сингапур, споделен с The Hacker News.


Смята се, че Inferno Drainer, който е бил активен от ноември 2022 г. до ноември 2023 г., е пожънал над 87 млн. долара незаконни печалби, като е измамил повече от 137 000 жертви.

Зловредният софтуер е част от по-широк набор от подобни предложения, които са на разположение на афилиатите в рамките на модела „измама като услуга“ (или „дрейнър като услуга“) в замяна на 20% дял от приходите им.

Нещо повече, клиентите на Inferno Drainer могат или да качат зловредния софтуер на собствените си фишинг сайтове, или да се възползват от услугата на разработчика за създаване и хостване на фишинг уебсайтове, като в някои случаи това става без допълнителни разходи или с таксуване на 30 % от откраднатите активи.

Според Group-IB дейността е подправяла до 100 марки криптовалути чрез специално създадени страници, които са били хоствани на над 16 000 уникални домейна.


Допълнителен анализ на 500 от тези домейни разкри, че базираните на JavaScript източващи програми са били хоствани първоначално в хранилище на GitHub (kuzdaz.github[.]io/seaport/seaport.js), преди да бъдат включени директно в уебсайтовете. Потребителят „kuzdaz“ в момента не съществува.

По подобен начин друг набор от 350 сайта включва файл на JavaScript, „coinbase-wallet-sdk.js“, в друго хранилище на GitHub, „kasrlorcian.github[.]io“.

След това тези сайтове бяха разпространени в сайтове като Discord и X (бивш Twitter), примамвайки потенциалните жертви да кликнат върху тях под предлог, че предлагат безплатни токени (известни още като airdrops) и да свържат портфейлите си, при което активите им се източват, след като транзакциите бъдат одобрени.

При използването на имената seaport.js, coinbase.js и wallet-connect.js идеята е била да се маскират като популярни Web3 протоколи като Seaport, WalletConnect и Coinbase, за да завършат неоторизираните трансакции. Най-ранният уебсайт, съдържащ един от тези скриптове, датира от 15 май 2023 г.

„Друга типична особеност на фишинг уебсайтовете, принадлежащи на Inferno Drainer, беше, че потребителите не могат да отворят изходния код на уебсайта с помощта на бързи клавиши или с десен бутон на мишката“, каза анализаторът на Group-IB Вячеслав Шевченко. „Това означава, че престъпниците са се опитали да скрият от жертвите си своите скриптове и незаконна дейност“.

Струва си да се отбележи, че профилът X на Mandiant, собственост на Google, беше компрометиран по-рано този месец, за да разпространи връзки към фишинг страница, хостваща програма за източване на криптовалута, проследена като CLINKSINK.

„Смятаме, че моделът „X като услуга“ ще продължи да процъфтява, не на последно място защото създава по-големи възможности за по-малко технически компетентни лица от това да опитат силите си, за да станат киберпрестъпници, а за разработчиците това е изключително доходоносен начин да подсилят приходите си“, заявиха от компанията пред The Hacker News.

„Очакваме също така да се увеличат опитите за хакване на официални акаунти, тъй като публикациите, за които се твърди, че са написани от авторитетен глас, вероятно вдъхват доверие в очите на зрителите и могат да накарат потенциалните жертви да последват линковете и да свържат акаунтите си.“

Наред с това Group-IB заяви, че успехът на Inferno Drainer може да подхрани разработването на нови дрейнъри, както и да доведе до рязко увеличаване на броя на уебсайтовете, съдържащи злонамерени скриптове, подправящи Web3 протоколи, като отбеляза, че 2024 г. може да се превърне в „годината на дрейнъра“.

„Inferno Drainer може и да е преустановил дейността си, но неговата известност през 2023 г. подчертава сериозните рискове за притежателите на криптовалути, тъй като дрейнърите продължават да се развиват допълнително“, заяви Андрей Колмаков, ръководител на отдела за разследване на престъпления, свързани с високите технологии, на Group-IB.

 

Източник: The Hacker News

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
17 април 2024

Пробивът на паролите в Sisense предизвиква "зло...

Експертите се опасяват, че компрометирането на Sisense, който разпо...
16 април 2024

UnitedHealth Group отчете 872 млн. щатски долар...

UnitedHealth Group отчете 872 млн. щатски долара въздействие върху ...
Бъдете социални
Още по темата
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
02/04/2024

Индия спасява 250 граждани,...

Индийското правителство съобщи, че е спасило...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!