Исследователи из Group-IB поделились антидостижениями матёрых киберпреступников.
Международная компания по кибербезопасности Group-IB Для просмотра ссылки Войдиили Зарегистрируйся о деятельности ныне несуществующей операции Inferno Drainer, создавшей более 16 тысяч мошеннических доменов в период с 2022 по 2023 год.
Злоумышленники использовали высококачественные фишинговые страницы для привлечения пользователей, чтобы те подключали свои криптовалютные кошельки к инфраструктуре мошенников. При этом использовались поддельные Web3 -протоколы, чтобы обманом заставить жертв авторизовать транзакции.
Inferno Drainer, активная с ноября 2022 по ноябрь 2023 года, незаконно заработала более $87 миллионов, обманув свыше 137 000 жертв. Этот вредоносный программный комплекс является частью широкого спектра подобных продуктов, доступных по модели «Drainer-as-a-service» ( DaaS ) с отчислениями в 20% от доходов аффилиатов.
Клиенты Inferno Drainer могли загружать вредоносное ПО на свои фишинговые сайты или использовать услуги разработчиков для создания и хостинга таких сайтов — иногда уже за 30% от украденных активов.
Анализ 500 таких вредоносных доменов показал, что вредоносное ПО на базе JavaScript изначально размещалось на GitHub , а затем интегрировалось непосредственно на веб-сайты. Затем эти сайты распространялись через такие платформы, как Discord и X *, предлагая жертвам бесплатные токены (так называемые «airdrops») и подключение их кошельков, после чего активы утекали при одобрении транзакций.
Именно такими бесплатными токенами мошенники недавно заманивали подписчиков ИБ-компании Mandiant , профиль которой в начале января Для просмотра ссылки Войдиили Зарегистрируйся в корыстных целях.
Ожидается, что попытки взлома официальных аккаунтов участятся, так как сообщения, якобы написанные авторитетными лицами, могут внушать доверие и заставлять жертв переходить по ссылкам, отдавая свои сбережения злоумышленникам.
В своих атаках мошенники использовали такие названия скриптов, как «seapоrt.js», «coinbаse.js» и «wallet-connect.js», чтобы маскировать их под популярные Web3-протоколы Seaport , Coinbase и WalletConnect для осуществления несанкционированных транзакций.
Аналитики Group-IB отмечают, что типичной особенностью фишинговых сайтов Inferno Drainer является невозможность открыть исходный код сайта с помощью горячих клавиш или правого клика мыши. Это указывает на попытки преступников скрыть свои скрипты и нелегальную деятельность от жертв.
Group-IB также предполагает, что успех Inferno Drainer может спровоцировать создание новых дрейнеров и увеличение числа сайтов с мошенническими скриптами, имитирующими Web3-протоколы.
Эксперты также подчеркнули, что, несмотря на прекращение активности Inferno Drainer, влияние этой вредоносной операции несёт серьёзные риски для владельцев криптовалют, поскольку подобные методы атак лишь продолжают совершенствоваться.
<span style="font-size: 8pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
Международная компания по кибербезопасности Group-IB Для просмотра ссылки Войди
Злоумышленники использовали высококачественные фишинговые страницы для привлечения пользователей, чтобы те подключали свои криптовалютные кошельки к инфраструктуре мошенников. При этом использовались поддельные Web3 -протоколы, чтобы обманом заставить жертв авторизовать транзакции.
Inferno Drainer, активная с ноября 2022 по ноябрь 2023 года, незаконно заработала более $87 миллионов, обманув свыше 137 000 жертв. Этот вредоносный программный комплекс является частью широкого спектра подобных продуктов, доступных по модели «Drainer-as-a-service» ( DaaS ) с отчислениями в 20% от доходов аффилиатов.
Клиенты Inferno Drainer могли загружать вредоносное ПО на свои фишинговые сайты или использовать услуги разработчиков для создания и хостинга таких сайтов — иногда уже за 30% от украденных активов.
Анализ 500 таких вредоносных доменов показал, что вредоносное ПО на базе JavaScript изначально размещалось на GitHub , а затем интегрировалось непосредственно на веб-сайты. Затем эти сайты распространялись через такие платформы, как Discord и X *, предлагая жертвам бесплатные токены (так называемые «airdrops») и подключение их кошельков, после чего активы утекали при одобрении транзакций.
Именно такими бесплатными токенами мошенники недавно заманивали подписчиков ИБ-компании Mandiant , профиль которой в начале января Для просмотра ссылки Войди
Ожидается, что попытки взлома официальных аккаунтов участятся, так как сообщения, якобы написанные авторитетными лицами, могут внушать доверие и заставлять жертв переходить по ссылкам, отдавая свои сбережения злоумышленникам.
В своих атаках мошенники использовали такие названия скриптов, как «seapоrt.js», «coinbаse.js» и «wallet-connect.js», чтобы маскировать их под популярные Web3-протоколы Seaport , Coinbase и WalletConnect для осуществления несанкционированных транзакций.
Аналитики Group-IB отмечают, что типичной особенностью фишинговых сайтов Inferno Drainer является невозможность открыть исходный код сайта с помощью горячих клавиш или правого клика мыши. Это указывает на попытки преступников скрыть свои скрипты и нелегальную деятельность от жертв.
Group-IB также предполагает, что успех Inferno Drainer может спровоцировать создание новых дрейнеров и увеличение числа сайтов с мошенническими скриптами, имитирующими Web3-протоколы.
Эксперты также подчеркнули, что, несмотря на прекращение активности Inferno Drainer, влияние этой вредоносной операции несёт серьёзные риски для владельцев криптовалют, поскольку подобные методы атак лишь продолжают совершенствоваться.
<span style="font-size: 8pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
- Источник новости
- www.securitylab.ru