Az Inferno Drainer, egy felszámolt bűnözői csoport, 2022 és 2023 közötti egy év alatt több mint 16 ezer rosszindulatú domain nevet hozott létre. A szingapúri központú Group-IB elemzése szerint ez a banda „elképesztően kifinomult adathalász oldalakon keresztül kecsegtette a naiv felhasználókat, hogy csatlakoztassák kriptopénz tárcáikat egy, a támadók által kialakított hamis infrastruktúrához. Ez az infrastruktúra Web3 protokollok utánzásával tévesztette meg az áldozatokat, hogy végrehajtsanak tranzakciókat” – írja a The Hacker News a megosztott jelentésükben.
Az Inferno Drainer 2022 novemberétől 2023 novemberéig működött, és ebben az időszakban több mint 87 millió dollárnyi illegális haszonra tett szert, 137 ezer sértett becsapásával. Ez a malware egy nagyobb skálájú, hasonló célú szolgáltatások sorát alkotta, amelyeket a csalók egy „csalás-ként-szolgáltatás” (vagy „drainer-ként-szolgáltatás”) üzleti modellben ajánlottak, a profitjuk egyötödének fejében.
Az Inferno Drainer ügyfelei eldönthették, hogy a kártevőt a saját adathalász oldalaikra töltik fel, vagy a fejlesztők szolgáltatásait veszik igénybe az adathalász oldalak létrehozásához és karbantartásához, néhol ingyen, máskor a lopott értékek 30%-ának áráért.
A Group-IB jelentése szerint az akció során több mint 100 kriptovaluta márkanévvel megegyező, speciálisan tervezett oldalak jöttek létre, melyek több mint 16 ezer egyedi domainen voltak elhelyezve. Ezek közül 500 domain vizsgálata kimutatta, hogy a JavaScript alapú malware eredetileg egy GitHub tárházban volt elhelyezve (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalak részévé váltak volna. A „kuzdaz” felhasználó jelenleg nem elérhető.
Hasonlóképpen, további 350 oldal tartalmazta a „coinbase-wallet-sdk.js” nevű JavaScript fájlt, amit egy eltérő GitHub tárházban helyeztek el, a „kasrlorcian.github[.]io”-n. Ezeket az oldalakat különféle platformokon terjesztették, mint például a Discord és az X (korábbi Twitter), ahol ingyenes tokenekkel (airdropokkal) csalogatták a potenciális áldozatokat, hogy rákattintsanak. A cél az volt, hogy rávegyék őket a tárcáik csatlakoztatására, és ezt követően, a tranzakciók jóváhagyása után, az eszközeiket sikeresen eltulajdonították.
A seaport.js, coinbase.js és wallet-connect.js fájlok használatával céljuk az volt, hogy népszerű Web3 protokollok, mint a Seaport, a WalletConnect és a Coinbase megtévesztő álcájába bújjanak, ezzel végrehajtva a jogosulatlan tranzakciókat. Az első ilyen scripteket tartalmazó weboldal 2023. május 15-én tűnt fel.
„Az Inferno Drainerrel összefüggő adathalász oldalak egyik ismertetőjele az volt, hogy a felhasználók nem férhettek hozzá a weboldal forráskódjához sem a gyorsbillentyűkkel, sem az egér jobb gombjával” – hívta fel a figyelmet Viacheslav Shevchenko, a Group-IB elemzője. „Ez arra utal, hogy a csalók próbálták elrejteni a szkriptjeiket és illegális műveleteiket az áldozatok elől.”
Fontos megemlíteni, hogy a Google tulajdonában lévő Mandiant X fiókja ebben a hónapban kompromittálódott, és linkeket osztott meg egy olyan adathalász oldalhoz, amely a CLINKSINK nevű kriptovaluta-drainert tárolta.
„Bár az Inferno Drainer tevékenysége megszűnt, jelentősége 2023-ban rámutatott a kriptovaluta tulajdonosok számára fennálló jelentős kockázatokra, mivel a drainer típusú malwarek további fejlődése folyamatban van” – mondta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department igazgatója.
Forrás:https://thehackernews.com