Az Inferno Drainer, egy leállított bűnözői hálózat, 2022 és 2023 között egy év alatt több mint 16 ezer kártékony domain nevet hozott létre. A Group-IB, szingapúri központú cég szerint a banda “kifinomult adathalász oldalakon keresztül csábította be a gyanútlan felhasználókat, hogy kriptovaluta tárcáikat egy, a támadók által létrehozott infrastruktúrához csatlakoztassák. Ez az infrastruktúra Web3 protokollokat másolt, ezzel megtévesztve az áldozatokat, hogy tranzakciókat hajtsanak végre” – áll a The Hacker News által közölt jelentésükben.
Az Inferno Drainer 2022 novemberétől 2023 novemberéig tevékenykedett, ezen időszak alatt több mint 87 millió dollárnyi törvénytelen hasznot realizált, 137 ezer áldozat átverésével. Ez a kártevő része volt egy szélesebb körben elérhető, hasonló jellegű szolgáltatásoknak, melyeket a csalók egy “csalás, mint szolgáltatás” (vagy “drainer, mint szolgáltatás”) modellben kínáltak, a profitjuk 20%-os részesedése ellenében.
Az Inferno Drainer ügyfelei választhattak, hogy a malware-t saját adathalász oldalaikra töltik fel, vagy kihasználják a fejlesztők szolgáltatásait az adathalász oldalak készítésére és tárolására, néhány esetben díjmentesen, máskor a lopott javak 30%-ának ellenértékében.
A Group-IB értesülései szerint a tevékenység több mint 100 kriptovaluta márkát utánzott speciálisan kialakított oldalakon, amelyek több mint 16 ezer egyedi domainen kerültek tárolásra. Ezek közül 500 domain elemzése felfedte, hogy a JavaScript alapú kártevő kezdetben egy GitHub tárházban (kuzdaz.github[.]io/seaport/seaport.js) helyezkedett el, mielőtt közvetlenül az oldalakba integrálták volna. A “kuzdaz” felhasználó jelenleg nem aktív.
Ugyanígy, további 350 oldal foglalt magába egy “coinbase-wallet-sdk.js” nevű JavaScript fá
jlt, amit egy másik GitHub tárházban, a “kasrlorcian.github[.]io”-n tároltak. Ezek az oldalak különböző platformokon, mint például a Discord és az X (korábban Twitter) kerültek terjesztésre, ahol vonzó ajánlatokkal, mint ingyen tokenek (airdropok) csalogatták a lehetséges áldozatokat, hogy rákattintsanak. Az volt a céljuk, hogy meggyőzzék őket tárcáik csatlakoztatására, amit követően, a tranzakciók jóváhagyása után, a felhasználók eszközeit sikeresen kiszipolyozták.
A seaport.js, coinbase.js és wallet-connect.js fájlok felhasználásával szándékuk az volt, hogy népszerű Web3 protokolloknak, mint a Seaport, a WalletConnect és a Coinbase álcájába bújjanak, így végrehajtva a jogosulatlan tranzakciókat. Az első ilyen szkripteket tartalmazó weboldal 2023. május 15-én került napvilágra.
“Az Inferno Drainerhez köthető adathalász oldalak egyik jellemzője az volt, hogy a látogatók nem tudták megtekinteni a weboldal forráskódját sem a gyorsbillentyűk, sem az egér jobb gombjának használatával” – emelte ki Viacheslav Shevchenko, a Group-IB elemzője. “Ez arra utal, hogy a csalók igyekeztek elrejteni scriptjeiket és törvénytelen tevékenységüket az áldozataik elől.”
Érdemes megjegyezni, hogy a Google tulajdonában lévő Mandiant X fiókja a hónapban kompromittálódott, és linkeket osztott meg egy olyan adathalász oldalra, amely a CLINKSINK nevű kriptovaluta-elvonót tárolta.
“Bár az Inferno Drainer tevékenysége már megszűnt, jelentősége 2023-ban hangsúlyozta a kriptovaluta-tulajdonosok számára fennálló jelentős kockázatokat, mivel a drainer típusú kártevők további fejlesztés alatt állnak” – hangoztatta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.
Forrás:
https://thehackernews.com