Az Inferno Drainer, egy már nem működő bűnözői hálózat, 2022 és 2023 közötti egy év alatt több mint 16 000 különböző káros domain nevet hozott létre. A szingapúri központú Group-IB jelentése szerint ez a csoport „minőségi adathalász oldalakkal csalogatta a tudatlan felhasználókat, hogy a támadók által kialakított infrastruktúrához csatlakoztassák kriptovaluta tárcáikat. Ez a struktúra Web3 protokollokat imitált annak érdekében, hogy átverje és tranzakciókra késztessék az áldozatokat” – írják a The Hacker News-szal megosztott beszámolójukban.
Az Inferno Drainer 2022 novemberétől egészen 2023 novemberéig működött, ebben az időszakban több mint 87 millió dollárnyi illegális profitot termelt, több mint 137 000 áldozat megtévesztésével. A kártevő egy nagyobb, hasonló funkciójú szolgáltatások csoportjának részét képezte, melyet a csalók az „átverés mint szolgáltatás” (vagy „drainer mint szolgáltatás”) modellben kínáltak, cserébe a nyereségük 20%-át kérték.
Az Inferno Drainer vásárlói dönthettek úgy, hogy a malware-t a saját adathalász oldalaikra töltik fel, vagy igénybe veszik a fejlesztők szolgáltatását, hogy létrehozzanak és tároljanak adathalász weboldalakat, néha ingyen, máskor a lopott eszközök 30%-át felszámolva.
A Group-IB szerint a művelet több mint 100 kriptopénz márkát utánozva, speciálisan kialakított oldalakon zajlott, melyek több mint 16 000 egyedi domainen kerültek tárolásra. Ezek közül 500 domain elemzése során kiderült, hogy a JavaScript alapú kártevőt kezdetben egy GitHub repóban helyezték el (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakhoz adták volna. A „kuzdaz” felhasználó jelenleg nem aktív.
Hasonlóan, további 350 oldal tartalmazta a „coinbase-wallet-sdk.js” JavaScript fájlt, egy másik GitHub repóban, a „kasrlorcian.github[.]
io”-nál. Ezek az oldalak olyan platformokon kerültek terjesztésre, mint a Discord és az X (korábban Twitter), ahol csábító ajánlatokkal, például ingyenes tokennel (azaz airdropokkal) kecsegtetve vették rá a potenciális áldozatokat, hogy kattintsanak az oldalakra. A cél az volt, hogy rábírják őket a tárcáik csatlakoztatására, ekkor, a tranzakciók elfogadása után, az eszközeiket sikeresen elszívták.
A seaport.js, coinbase.js és wallet-connect.js fájlok használatával az volt a terv, hogy népszerű Web3 protokollokat, mint a Seaport, a WalletConnect és a Coinbase imitáljanak, ezzel végrehajtva az engedély nélküli tranzakciókat. Az első ilyen szkripteket tartalmazó weboldal 2023. május 15-én jelent meg.
„Az Inferno Drainer által létrehozott adathalász oldalak egy további sajátossága az volt, hogy a felhasználók nem tudták megnyitni a weboldal forráskódját a gyorsgombok vagy az egér jobb gombjának segítségével” – jegyezte meg Viacheslav Shevchenko, a Group-IB elemzője. „Ez arra utal, hogy a bűnözők igyekeztek elrejteni a szkriptjeiket és illegális tevékenységüket az áldozatok szeme elől.”
Fontos megemlíteni, hogy a Google tulajdonában lévő Mandiant X fiókja a hónap folyamán kompromittálódott, és linkeket osztott meg egy olyan adathalász oldalra, amely a CLINKSINK nevű kriptopénz-kiürítőt tárolta.
„Bár az Inferno Drainer már nem aktív, tevékenységének jelentősége 2023 során rávilágított a kriptopénz-tulajdonosok számára fennálló súlyos kockázatokra, hiszen a drainer típusú kártevők további fejlődésén dolgoznak” – fejtette ki Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.
Forrás: https://the hackernews.com