El malware Inferno, disfrazado de Coinbase, extrajo 87 millones de dólares

Iniciado por AXCESS, Enero 17, 2024, 01:37:55 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 17, 2024, 01:37:55 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los operadores detrás del ahora desaparecido Inferno Drainer crearon más de 16.000 dominios maliciosos únicos en un lapso de un año entre 2022 y 2023.

El esquema "aprovechó páginas de phishing de alta calidad para atraer a usuarios desprevenidos a conectar sus billeteras de criptomonedas con la infraestructura de los atacantes que falsificaron los protocolos Web3 para engañar a las víctimas y así autorizaran transacciones", dijo Group-IB, con sede en Singapur.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Se estima que Inferno Drainer, que estuvo activo desde noviembre de 2022 hasta noviembre de 2023, obtuvo más de 87 millones de dólares en ganancias ilícitas al estafar a más de 137.000 víctimas.

El malware es parte de un conjunto más amplio de ofertas similares que están disponibles para los afiliados bajo el modelo de estafa como servicio (o drenaje como servicio) a cambio de un recorte del 20% de sus ganancias.

Es más, los clientes de Inferno Drainer podrían cargar el malware en sus propios sitios de phishing o utilizar el servicio del desarrollador para crear y alojar sitios web de phishing, sin coste adicional o cobrando el 30% de los activos robados en algunos casos.

La herramienta DaaS ganó popularidad tras el cierre de Monkey Drainer en marzo de 2023, lo que también preparó el surgimiento de otro servicio de drenaje de corta duración llamado Venom Drainer.

Los datos recopilados por Scam Sniffer muestran que las estafas de criptophishing que proliferan en los kits de drenaje han robado acumulativamente 295,4 millones de dólares en activos de unos 320.000 usuarios en 2023.

Según Group-IB, la actividad falsificó más de 100 marcas de criptomonedas a través de páginas especialmente diseñadas que estaban alojadas en más de 16.000 dominios únicos.

Un análisis más detallado de 500 de estos dominios ha revelado que el drenaje basado en JavaScript se alojó inicialmente en un repositorio de GitHub (kuzdaz.github[.]io/seaport/seaport.js) antes de incorporarlos directamente en los sitios web. El usuario "kuzdaz" actualmente no existe.

De manera similar, otro conjunto de 350 sitios incluía un archivo JavaScript, "coinbase-wallet-sdk.js", en un repositorio de GitHub diferente, "kasrlorcian.github[.]io".

Estos sitios luego se propagaron en sitios como Discord y X (anteriormente Twitter), atrayendo a víctimas potenciales a hacer clic en ellos con el pretexto de ofrecer tokens gratis (también conocidos como lanzamientos aéreos) y conectar sus billeteras, momento en el cual sus activos se agotaron una vez que se aprobaron las transacciones.

Al usar los nombres seaport.js, coinbase.js y wallet-connect.js, la idea era hacerse pasar por protocolos Web3 populares como Seaport, WalletConnect y Coinbase para completar las transacciones no autorizadas. El primer sitio web que contiene uno de estos scripts se remonta al 15 de mayo de 2023.

"Otra característica típica de los sitios web de phishing pertenecientes a Inferno Drainer es que los usuarios no pueden abrir el código fuente del sitio web usando teclas de acceso rápido o haciendo clic con el botón derecho del ratón", dijo el analista de Group-IB Viacheslav Shevchenko. "Esto significa que los delincuentes intentaron ocultar sus guiones y actividades ilegales a sus víctimas".

Vale la pena señalar que la cuenta X de Mandiant, propiedad de Google, se vio comprometida a principios de este mes para distribuir enlaces a una página de phishing que aloja un drenaje de criptomonedas rastreado como CLINKSINK, una variante del cual conocida como Rainbow Drainer que ha robado casi $4,17 millones en activos de 3.947 usuarios de Solana durante el mes pasado.

"Creemos que el modelo 'X como servicio' seguirá prosperando, entre otras cosas porque crea mayores oportunidades para que personas menos competentes técnicamente intenten convertirse en ciberdelincuentes, y para los desarrolladores, es una forma muy rentable de reforzar sus capacidades de ingresos", dijo la compañía.

"También esperamos ver mayores intentos de piratear cuentas oficiales, ya que las publicaciones supuestamente escritas por una voz autorizada probablemente inspiren confianza a los ojos de los espectadores y pueden hacer que las víctimas potenciales sean más propensas a seguir enlaces y conectar sus cuentas".

Además de eso, Group-IB dijo que el éxito de Inferno Drainer podría impulsar el desarrollo de nuevos drenajes, así como provocar un aumento en los sitios web que contienen scripts maliciosos que falsifican los protocolos Web3, y señaló que 2024 podría convertirse en el "año del drenaje".

"Es posible que Inferno Drainer haya cesado su actividad, pero su prominencia a lo largo de 2023 pone de relieve los graves riesgos para los poseedores de criptomonedas a medida que los drenajes continúan desarrollándose", dijo Andrey Kolmakov, jefe del Departamento de Investigación de Delitos de Alta Tecnología del Grupo-IB.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario