Исследователи из Group-IB поделились антидостижениями матёрых киберпреступников.
Международная компания по кибербезопасности Group-IB сообщила о деятельности ныне несуществующей операции Inferno Drainer, создавшей более 16 тысяч мошеннических доменов в период с 2022 по 2023 год.
Злоумышленники использовали высококачественные фишинговые страницы для привлечения пользователей, чтобы те подключали свои криптовалютные кошельки к инфраструктуре мошенников. При этом использовались поддельные Web3-протоколы, чтобы обманом заставить жертв авторизовать транзакции.
Inferno Drainer, активная с ноября 2022 по ноябрь 2023 года, незаконно заработала более $87 миллионов, обманув свыше 137 000 жертв. Этот вредоносный программный комплекс является частью широкого спектра подобных продуктов, доступных по модели «Drainer-as-a-service» (DaaS) с отчислениями в 20% от доходов аффилиатов.
Клиенты Inferno Drainer могли загружать вредоносное ПО на свои фишинговые сайты или использовать услуги разработчиков для создания и хостинга таких сайтов — иногда уже за 30% от украденных активов.
Анализ 500 таких вредоносных доменов показал, что вредоносное ПО на базе JavaScript изначально размещалось на GitHub, а затем интегрировалось непосредственно на веб-сайты. Затем эти сайты распространялись через такие платформы, как Discord и X *, предлагая жертвам бесплатные токены (так называемые «airdrops») и подключение их кошельков, после чего активы утекали при одобрении транзакций.
Именно такими бесплатными токенами мошенники недавно заманивали подписчиков ИБ-компании Mandiant, профиль которой в начале января был взломан и использован злоумышленниками в корыстных целях.
Ожидается, что попытки взлома официальных аккаунтов участятся, так как сообщения, якобы написанные авторитетными лицами, могут внушать доверие и заставлять жертв переходить по ссылкам, отдавая свои сбережения злоумышленникам.
В своих атаках мошенники использовали такие названия скриптов, как «seapоrt.js», «coinbаse.js» и «wallet-connect.js», чтобы маскировать их под популярные Web3-протоколы Seaport, Coinbase и WalletConnect для осуществления несанкционированных транзакций.
Аналитики Group-IB отмечают, что типичной особенностью фишинговых сайтов Inferno Drainer является невозможность открыть исходный код сайта с помощью горячих клавиш или правого клика мыши. Это указывает на попытки преступников скрыть свои скрипты и нелегальную деятельность от жертв.
Group-IB также предполагает, что успех Inferno Drainer может спровоцировать создание новых дрейнеров и увеличение числа сайтов с мошенническими скриптами, имитирующими Web3-протоколы.
Эксперты также подчеркнули, что, несмотря на прекращение активности Inferno Drainer, влияние этой вредоносной операции несёт серьёзные риски для владельцев криптовалют, поскольку подобные методы атак лишь продолжают совершенствоваться.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.group-ib.com/blog/inferno-drainer/</pre>