Az Inferno Drainer nevű, immár megszűnt csalói csoport egy év alatt, 2022 és 2023 között több mint 16 000 egyedi kártékony domain nevet hozott létre. A szingapúri székhelyű Group-IB szerint a szervezet „magas minőségű adathalász oldalak segítségével csábította gyanútlan felhasználókat arra, hogy kriptopénz tárcájukat az elkövetők által létrehozott infrastruktúrához kapcsolják, ami Web3 protokollokat utánzott annak érdekében, hogy az áldozatokat megtévessze és tranzakciók jóváhagyására bírja” – áll a The Hacker News-szal megosztott jelentésükben.
Az Inferno Drainer 2022 novemberétől 2023 novemberéig volt aktív, és több mint 87 millió dolláros törvénytelen nyereséget könyvelt el, több mint 137 000 áldozat becsapásával. A malware része volt egy szélesebb körű, hasonló szolgáltatásoknak, amelyeket a csalók az „átverés-mint-szolgáltatás” (vagy „drainer-mint-szolgáltatás”) modell keretében értékesítettek, a nyereségük 20%-ának cserébe.
Ráadásul az Inferno Drainer ügyfelei választhatnak, hogy feltöltsék a malware-t a saját adathalász oldalaikra, vagy használják a fejlesztő szolgáltatását az adathalász weboldalak létrehozására és tárolására, néhány esetben ingyen, vagy a lopott eszközök 30%-ának díjazásával.
A Group-IB szerint a tevékenység több mint 100 kriptopénz márkát utánzott, különlegesen kialakított oldalakon, amelyeket több mint 16 000 egyedi domainen tároltak. Az ilyen domainek közül 500 elemzése során kiderült, hogy a JavaScript-alapú drainer kezdetben egy GitHub tárházban volt tárolva (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakra illesztették volna. A „kuzdaz” felhasználó jelenleg nem létezik.
Hasonló módon, további 350 oldal tartalmazott egy „coinbase-wallet-sdk.js” nevű JavaScript fájlt, egy másik GitHub tárházban, a „kasrlorcian.github[.]io”-n. Ezeket az oldalakat olyan helyeken terjesztették, mint a Discord és az X (korábban Twitter), ahol potenciális áldozatokat csábítottak rá, hogy kattintsanak rájuk, azzal a csellel, hogy ingyenes tokeneket (úgynevezett airdropokat) kínáltak, és arra bírták őket, hogy csatlakoztassák a tárcáikat, amikor a tranzakciók jóváhagyása után az eszközeiket elcsatornázták.
A seaport.js, coinbase.js és wallet-connect.js nevű fájlok használatával a cél az volt, hogy népszerű Web3 protokollok, mint a Seaport, a WalletConnect és a Coinbase álruhájába bújjanak, hogy végrehajtsák az engedély nélküli tranzakciókat. Az első ilyen scriptet tartalmazó weboldal 2023. május 15-én jelent meg.
„Az Inferno Drainerhez tartozó adathalász oldalak egy másik jellemzője az volt, hogy a felhasználók nem nyithatták meg a weboldal forráskódját a gyorsbillentyűk vagy az egér jobb gombjának használatával” – mondta Viacheslav Shevchenko, a Group-IB elemzője. „Ez azt jelenti, hogy a bűnözők megpróbálták elrejteni a scriptjeiket és illegális tevékenységüket az áldozataik elől.”
Megjegyzendő, hogy a Google tulajdonában lévő Mandiant X fiókja ebben a hónapban kompromittálódott, és linkeket osztott meg egy adathalász oldalhoz, amely egy CLINKSINK nevű kriptopénz-drainert tárol.
„Bár az Inferno Drainer tevékenysége megszűnt, jelentősége 2023 folyamán kiemeli a kriptopénz tulajdonosok számára jelentkező súlyos kockázatokat, mivel a drainerek tovább fejlődnek” – mondta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.
Forrás: https://thehackernews.com