Una sofisticada campaña de phishing denominada «Inferno Drainer» ha logrado desviar más de 80 millones de dólares en criptomonedas de 137.000 víctimas involuntarias en el transcurso de un año, utilizando 100 marcas diferentes de criptomonedas en una táctica de suplantación.
Según Team-IB, los atacantes alojaron las páginas de phishing utilizando más de 16.000 dominios únicos durante el transcurso de la campaña, que se desarrolló entre noviembre de 2022 y noviembre de 2023, tras lo cual fue interrumpida. De acuerdo a datos de drenaje criptográfico de ScamSnifferInferno Drainer fue el drenaje de criptomonedas más destacado en 2023 en términos de daños financieros, y obtuvo su escala a partir de un modelo innovador de «drenado como servicio».
Y aunque Inferno Drainer puede haber cesado su actividad por ahora, su prominencia a lo largo de 2023 resalta los graves riesgos para los poseedores de criptomonedas como El malware Drainer continúa desarrollándoseEl equipo de Group-IB informa a Dark Looking at (solicitando el anonimato del investigador específico).
«Su éxito con respecto a los fondos que pudo robar probablemente impulsará el desarrollo de nuevos drenadores, un aumento de sitios website que contienen scripts maliciosos que falsifican los protocolos Net3 y nuevos métodos sofisticados para entregar estos scripts, como el reciente ciberataque a Ledger«, dicen. «Podría darse un escenario en el que 2024 se convierta en el año del drenaje».
Anatomía de una campaña de cripto-suplantación de identidad
Durante el transcurso del ataque de Inferno Drainer, los atacantes utilizaron dos niveles de suplantación de marca.
Primero, crearon páginas world-wide-web maliciosas que falsificaban marcas como CoinbaseSeaport y WalletConnect, que se utilizan para conectar billeteras criptográficas a plataformas comerciales descentralizadas y otras aplicaciones. La thought era «atraer a usuarios desprevenidos para que conecten sus billeteras de criptomonedas con la infraestructura de los atacantes», según Group-IB. análisis sobre Inferno Drainer.
En otras palabras, las marcas creían que estaban utilizando servicios legítimos, pero en realidad estaban autorizando sin saberlo el desvío malicioso de fondos.
Es preocupante que los scripts que los ciberatacantes utilizaron para Suplantación de World-wide-web3 están disponibles en repositorios de GitHub o como un archivo .ZIP separado alojado en un sitio para compartir archivos, señalaron los investigadores.
Mientras tanto, para atraer objetivos a los sitios en primer lugar, los adversarios promocionaron las páginas en sitios de redes sociales, incluido X (anteriormente Twitter) y varios servidores de Discord. Como señuelos, prometieron gratis. «lanzamientos aéreos» (criptotokens), una oportunidad para acuñar tokens no fungibles (NFT) o, irónicamente, una compensación por las interrupciones causadas por la actividad cibercriminal. En overall, los asaltantes de Inferno Drainer aquí falsificaron a docenas de empresas que ofrecen monedas, tokens o servicios de intercambio específicos.
Modelo de estafa como servicio de Inferno Drainer
Un aspecto noteworthy de la campaña es el hecho de que los atracos de Inferno Drainer no fueron obra de un solo grupo de ciberdelincuencia más bien, la infraestructura estaba disponible para alquilar.
«Los desarrolladores de Drainer promocionaron su malware en un canal de Telegram, cuya primera publicación se publicó el 5 de noviembre de 2022», explicaron los investigadores del Group-IB en el análisis. «Los ciberdelincuentes que aprovechaban Inferno Drainer tenían acceso a un panel de clientes, que todavía estaba activo en la primera semana de diciembre, que les permitía personalizar las características del malware y estadísticas clave detalladas, como el número de víctimas que habían conectado sus billeteras en un sitio web de phishing específico, el número de transacciones confirmadas y el valor de los activos robados».
El modelo de alquiler incluía una tarifa fija para los promotores del 20% de los activos robados a cambio del uso del escurridor. Los ciberdelincuentes podrían cargar el malware en sus propios sitios de phishing o también alquilar la infraestructura de phishing a los desarrolladores por un complete del 30% de los activos robados, según descubrieron los expertos del Group-IB.
«Otras formas de malware, es decir, ransomware, se han ofrecido bajo el modelo 'x-as-a-service' antes, pero ahora estamos viendo la creciente popularidad de los drenajes que también funcionan según este marco», explica el equipo de investigación a Darkish Reading through.
En términos de ciberdefensa, los poseedores de criptomonedas deben permanecer atentos y desconfiar de cualquier sitio website que promueva activos digitales gratuitos o lanzamientos aéreos. Por su parte, las marcas de criptomonedas tienen una serie de tareas por delante para frustrar lo que Group-IB cree que pronto será una avalancha de nueva actividad agotadora.
«En primer lugar, es necesario transmitir toda la información relevante, como las URL de los sitios internet de phishing, a las fuerzas del orden», afirman los investigadores. «En segundo lugar, las empresas en la criptoesfera tienen opciones para luchar contra los sitios internet de phishing. Las soluciones de ciberseguridad… pueden monitorear signos de abuso de marca en Net en tiempo authentic y detectar y bloquear rápidamente cualquier amenaza que pueda conducir a estafas».