Експерти по киберсигурност предупреждават, че операторите и партньорите на така наречените „crypto drainers“ – зловредни инструменти за кражба на криптовалута – активно търсят нови начини да останат незабелязани и да компрометират портфейли на потребители.

Използване на реномирани домейни и усъвършенствано прикриване

В нов доклад на Security Alliance (SEAL) се посочва, че дори подизпълнителите на тези престъпни групи вече използват високорепутационни домейни за създаване на фишинг страници и хостване на зловредни кодове. Част от тях повторно регистрират легитимни домейни, които преди това са били използвани от реални организации.

Изследователите отбелязват, че операторите внедряват усъвършенстван „фингърпринтинг“ – техника за анализ на устройството и поведението на посетителя – с цел да избягват засичане от изследователи, защитни системи и ботове.

„По-неопитните оператори все още залагат на масови кампании с голям брой домейни, но без сложни механизми за прикриване,“ обясняват от SEAL.

Злонамерена реклама чрез легитимни акаунти

Един от новите подходи е компрометиране на реални бизнес акаунти, използвани за Google Ads кампании, вместо създаване на фалшиви профили. Това позволява на нападателите да внедряват зловредна реклама (malvertising) директно през доверени канали, което значително повишава вероятността жертвите да кликнат.

Според SEAL, престъпниците вече могат да насочват атаките си по региони, езици и демографски групи, като едновременно филтрират „нежелан трафик“ – например от изследователи, виртуални среди и скенери.

Най-активните drainer-и: Inferno, Rublevka и Eleven Drainer

Докладът разглежда три от най-разпространените зловредни инструмента – Inferno Drainer, Rublevka и Eleven Drainer.

• Inferno Drainer остава най-активният, като вече се наблюдават опити за прикриване на файлове и промяна на имената им с цел да се избегне разпознаване по отпечатък.

• Rublevka и Eleven Drainer пък демонстрират нова тенденция – публичност и маркетинг. Eleven Drainer дори организира „наградна игра“ с BMW M4 за най-успешния си партньор.

„Тези групи непрекъснато усъвършенстват методите си, което показва, че предстои още по-задълбочено разследване,“ отбелязват експертите от SEAL.

Интервю с руски афилиейт разкрива вътрешната култура

SEAL споделя подробности от интервю с рускиговорящ афилиейт, в което той описва своето развитие – от първите измами през 2018 г., носещи само 200 долара печалба, до настоящите координирани операции с „няколко приятели“.

На въпрос дали не се страхува да говори публично, той отговаря:

„В началото бях, но осъзнах, че не съм нарушил законите на Руската федерация и не съм действал срещу страната.“

Как да се реагира при засичане на фишинг или drainer дейност

SEAL насърчава потребителите и специалистите по сигурност да съобщават за фишинг сайтове чрез Telegram бота SEAL Phishing Bot, а за информация, свързана с drainer-и – чрез SEAL Tips Bot.