Az Inferno Drainer, egy megszüntetett bűnözői hálózat, egyetlen év alatt, 2022 és 2023 között több mint 16 ezer káros weboldalt hozott létre. A Group-IB, melynek központja Szingapúrban található, szerint a banda „ravasz adathalász oldalak segítségével csábította a naiv felhasználókat, hogy csatlakoztassák kriptovaluta tárcáikat egy, a támadók által létrehozott álinfrastruktúrához. Ez az infrastruktúra Web3 protokollokat utánzott, így becsapva az áldozatokat, hogy végrehajtsanak tranzakciókat” – olvasható a The Hacker News által közzétett jelentésükben.

Az Inferno Drainer 2022 novemberétől egészen 2023 novemberéig volt aktív, ebben az időszakban pedig több mint 87 millió dollárnyi jogtalan haszonra tett szert, mintegy 137 ezer áldozat megtévesztésével. Ez a kártevő egy szélesebb körben elterjedt, hasonló célú szolgáltatások sorozatának része volt, melyeket a csalók „csalás mint szolgáltatás” (vagy „drainer mint szolgáltatás”) modell keretében kínáltak, a bevételeik 20%-áért cserébe.

Az Inferno Drainer ügyfelei választhatták, hogy a kártevőt a saját adathalász oldalaikra töltik fel, vagy a fejlesztők segítségét kérik az adathalász oldalak létrehozásához és fenntartásához, néha ingyenesen, máskor a lopott értékek 30%-áért cserébe.

A Group-IB szerint a művelet során több mint 100 kriptopénz márkát másoló, speciálisan tervezett oldalak jöttek létre, melyek több mint 16 ezer egyedi domainen voltak elhelyezve. Ezek közül 500 domain elemzése felfedte, hogy a JavaScript alapú kártevő eredetileg egy GitHub tárházban volt helyezve (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakba integrálták volna. A „kuzdaz” felhasználó jelenleg nem hozzáférhető.

Továbbá, további 350 oldal tartalmazta a „coinbase-wallet-sdk.js” nevű JavaScript fájlt, amely egy másik GitHub tárházban található, a „kasrlorcian.github[.]io”-n. Ezek az oldalak több platformon kerültek terjesztésre, mint például a Discord és az X (korábban Twitter), ahol ingyenes tokenekkel (airdropokkal) csábították a lehetséges áldozatokat a kattintásra. Céljuk az volt, hogy rábírják őket tárcáik csatlakoztatására, majd a tranzakciók jóváhagyását követően sikeresen elszívják az eszközeiket.

A seaport.js, coinbase.js és wallet-connect.js fájlok felhasználásával az volt a szándékuk, hogy népszerű Web3 protokollokat, mint a Seaport, a WalletConnect és a Coinbase imitáljanak, ezzel megvalósítva a jogosulatlan tranzakciókat. Az első ilyen szkripteket tartalmazó weboldal 2023. május 15-én jelent meg.

„Az Inferno Drainerhez kapcsolódó adathalász oldalak egyik tipikus jellemzője az volt, hogy a látogatók nem tudtak hozzáférni a weboldal forráskódjához a gyorsgombok vagy az egér jobb gombjának használatával” – figyelmeztetett Viacheslav Shevchenko, a Group-IB elemzője. „Ez arra utal, hogy a csalók próbálták elrejteni scriptjeiket és illegális tevékenységüket az áldozatok szeme elől.”

Fontos kiemelni, hogy a Google tulajdonában lévő Mandiant X fiókja a hónap folyamán kompromittálódott, és linkeket osztott meg egy olyan adathalász oldalra, amely a CLINKSINK nevű kriptovaluta-drainert tárolta.

„Bár az Inferno Drainer már nem aktív, 2023-ban jelentős hatással volt a kriptovaluta tulajdonosokra nézve, rávilágítva a drainer típusú kártevőkkel járó súlyos kockázatokra, mivel ezek további fejlesztés alatt állnak” – fejtette ki Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.

Forrás:https://thehackernews.com