Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Операторы, стоящие за ныне несуществующим Inferno Drainer, создали более 16 000 уникальных вредоносных доменов в течение одного года в период с 2022 по 2023 год.
Схема "использовала высококачественные фишинговые страницы, чтобы заманить ничего не подозревающих пользователей к подключению их криптовалютных кошельков к инфраструктуре злоумышленников, которые подделывали протоколы Web3, чтобы обманом заставить жертв авторизовать транзакции", - говорится в отчете Group-IB со штаб-квартирой в Сингапуре, опубликованном в Hacker News.
Inferno Drainer, который был активен с ноября 2022 по ноябрь 2023 года, по оценкам, получил более 87 миллионов долларов незаконной прибыли, обманув более 137 000 жертв.
Вредоносное ПО является частью более широкого набора аналогичных предложений, которые доступны аффилированным лицам по модели "Мошенничество как услуга" (или "слив как услуга") в обмен на сокращение их доходов на 20%.
Более того, клиенты Inferno Drainer могли либо загружать вредоносное ПО на свои собственные фишинговые сайты, либо пользоваться услугами разработчика для создания и размещения фишинговых веб-сайтов, либо бесплатно, либо взимая в некоторых случаях 30% от украденных активов.
По данным Group-IB, эта активность подделала более 100 криптовалютных брендов через специально созданные страницы, размещенные на более чем 16 000 уникальных доменах.
Дальнейший анализ 500 из этих доменов показал, что программа на основе JavaScript изначально размещалась в репозитории GitHub (kuzdaz.github[.]io/seaport/seaport.js), прежде чем внедрить ее непосредственно на веб-сайты. Пользователь "kuzdaz" в настоящее время не существует.
Аналогичным образом другой набор из 350 сайтов включал файл JavaScript "coinbase-wallet-sdk.js" в другом репозитории GitHub, "kasrlorcian.github[.]io".
Затем эти сайты были распространены на таких сайтах, как Discord и X (ранее Twitter), соблазняя потенциальных жертв переходить на них под видом предложения бесплатных токенов (они же airdrops) и подключения их кошельков, после чего их активы выводятся после одобрения транзакций.
Используя имена seaport.js, coinbase.js и wallet-connect.js, идея заключалась в том, чтобы замаскироваться под популярные протоколы Web3, такие как Seaport, WalletConnect и Coinbase, для завершения несанкционированных транзакций. Самый ранний веб-сайт, содержащий один из этих скриптов, датируется 15 мая 2023 года.
"Еще одной типичной особенностью фишинговых веб-сайтов, принадлежащих Inferno Drainer, было то, что пользователи не могли открыть исходный код веб-сайта с помощью горячих клавиш или щелчка правой кнопкой мыши", - сказал аналитик Group-IB Вячеслав Шевченко. "Это означает, что преступники пытались скрыть свои скрипты и незаконную деятельность от своих жертв".
Стоит отметить, что ранее в этом месяце учетная запись Mandiant X, принадлежащая Google, была скомпрометирована из-за распространения ссылок на фишинговую страницу, на которой размещался поставщик криптовалют, отслеживаемый как CLKSINK.
“Мы считаем, что модель ‘X как услуга’ будет продолжать процветать, не в последнюю очередь потому, что она создает больше возможностей для менее технически компетентных людей попробовать свои силы в качестве киберпреступников, а для разработчиков это высокодоходный способ увеличить свои доходы”, - сообщили в компании Hacker News.
“Мы также ожидаем увеличения числа попыток взлома официальных аккаунтов, поскольку сообщения, предположительно написанные авторитетным лицом, вероятно, вызовут доверие в глазах зрителей и могут повысить вероятность того, что потенциальные жертвы перейдут по ссылкам и подключат свои аккаунты ”.
Кроме того, Group-IB заявила, что успех Inferno Drainer может стимулировать разработку новых программ для удаления, а также привести к росту числа веб-сайтов, содержащих вредоносные скрипты, подменяющие протоколы Web3, отметив, что 2024 год может стать “годом утечки”.
"Inferno Drainer, возможно, прекратила свою деятельность, но ее известность в течение 2023 года подчеркивает серьезные риски для держателей криптовалют, поскольку дренирующие программы продолжают развиваться", - сказал Андрей Колмаков, глава отдела по расследованию преступлений в области высоких технологий Group-IB.
