Inferno Drainer Malware stiehlt 87 Millionen Dollar, indem sie sich als Coinbase ausgibt
In einer aufsehenerregenden Geschichte der Cyberkriminalität, die sich zwischen November 2022 und November 2023 abspielte, hat der berüchtigte Inferno Drainer, der mit einem Scam-as-a-Service-Modellillegale Gewinne von mehr als 87 Millionen Dollar. Die ausgeklügelte Inferno Drainer-Malware Schema umfasste die Erstellung von über 16.000 bösartigen Domainsund setzte fortschrittliche Taktiken ein, um ahnungslose Benutzer zu täuschen.
Das ausgeklügelte Schema der Inferno Drainer Malware
Die Täter, die hinter Inferno Drainer stecken, nutzten hochwertige Phishing-Seiten um Nutzer dazu zu verleiten, ihre Kryptowährungs-Geldbörsen mit der Infrastruktur der Angreifer zu verbinden. Diese Einrichtung täuschte Web3-Protokolle vor und verleitete die Opfer dazu, unwissentlich Transaktionen zu autorisieren. Einem Bericht der in Singapur ansässigen Group-IB zufolge war die Malware im genannten Zeitraum aktiv und zielte auf mehr als 137,000 Opfer.
Scam-as-a-Service-Modell
Im Rahmen des Scam-as-a-Service-Modells bot Inferno Drainer sein bösartiges Toolkit Partnern gegen einen Anteil von 20 % an ihren unrechtmäßig erzielten Gewinnen an. Die Kunden konnten die Malware entweder auf ihre eigenen Phishing-Websites hochladen oder den Service des Entwicklers für die Erstellung und das Hosting von Phishing-Websites in Anspruch nehmen, wobei in einigen Fällen 30 % der gestohlenen Vermögenswerte berechnet wurden.
Post-Affe Drainage-Landschaft
Die Popularität des Drainer-as-a-Service-Tools stieg nach der Schließung von Monkey Drainer im März 2023 sprunghaft an, was zum Aufkommen eines weiteren kurzlebigen Drainer-Dienstes namens Venom Drainer führte. Die Daten von Scam Sniffer zeigen, dass Kryptowährungs-Phishing Betrügereien im Zusammenhang mit Drainer-Kits im Jahr 2023 insgesamt 295,4 Millionen US-Dollar von rund 320.000 Nutzern abgezweigt haben.
Netz der Täuschung
Die Analyse von Group-IB zeigt, dass die Aktivität über 100 Kryptowährungsmarken durch speziell gestaltete Seiten, die auf mehr als 16.000 einzigartigen Domains gehostet wurden, gefälscht hat. Der JavaScript-basierte Drainer befand sich zunächst auf einem GitHub-Repository bevor er direkt in Websites eingebunden wurde. Bemerkenswert ist, dass die Benutzernamen, die mit diesen Repositories verbunden sind, wie z. B. "kuzdaz" und "kasrlorcian," sind nicht existent, was den bösartigen Aktivitäten eine zusätzliche Ebene der Anonymität verleiht.
Geniale Täuschung
Phishing-Websites, die mit Inferno Drainer verbunden waren, wiesen eine Besonderheit auf: Die Benutzer konnten den Quellcode der Website weder mit Hotkeys noch mit der rechten Maustaste öffnen. Mit diesem absichtlichen Versuch, Skripte und illegale Aktivitäten zu verbergen, sollten die Opfer über die laufenden betrügerischen Transaktionen im Unklaren gelassen werden.
Modus Operandi
Die Angreifer verwendeten geschickt die Namen seaport.js, coinbase.js und wallet-connect.js, um sich als beliebte Web3-Protokolle wie Seaport, WalletConnect und Coinbase auszugeben. Die Phishing-Websites wurden auf Plattformen wie Discord und X verbreitet und lockten die Opfer mit Versprechungen über kostenlose Token (Airdrops) und forderten sie auf, ihre Wallets zu verbinden. Sobald die Opfer den Transaktionen zustimmten, wurden ihre Guthaben schnell abgezogen.
Kompromittierte Konten und zukünftige Bedrohungen
Insbesondere wurde das X-Konto von Mandiant, das zu Google gehört, kompromittiert, um Links zu einer Phishing-Seite auf der ein Kryptowährungsabflussprogramm namens CLINKSINK gehostet wurde. Diese Rainbow Drainer-Variante hat es geschafft, allein im letzten Monat fast 4,17 Millionen Dollar von 3.947 Solana-Nutzern zu erbeuten.
Das "X-als-Dienstleistung"-Modell
Experten gehen davon aus, dass das "X-as-a-Service"-Modell fortbestehen wird und auch technisch weniger versierten Personen die Möglichkeit bietet, in die Cyberkriminalität einzusteigen. Für die Entwickler stellt es eine äußerst profitable Möglichkeit dar, ihre Einnahmen zu steigern. Es wird erwartet, dass die Kompromittierung offizieller Konten mit Beiträgen, die scheinbar von maßgeblichen Personen verfasst wurden, zunehmen wird, da dies bei potenziellen Opfern Vertrauen erweckt, so dass sie eher bereit sind, bösartigen Links zu folgen und ihre Konten zu verbinden.
Der drohende Ansturm
Group-IB warnt, dass der Erfolg von Inferno Drainer zu neuen Drainern und einem Anstieg von Websites mit bösartigen Skripten führen könnte, die Web3-Protokolle fälschen. Das Jahr 2024 könnte möglicherweise als das "Jahr des Drainers" genannt werden. was ein erhöhtes Risiko für Inhaber von Kryptowährungen darstellt.
Schlussfolgerung
Während dieser JavaScript-basierte Drainer seine bösartigen Aktivitäten eingestellt haben mag, unterstreichen die Ereignisse des Jahres 2023 die ernsten Risiken für Inhaber von Kryptowährungen, da sich die Drainer weiterentwickeln. Andrey Kolmakov, Leiter der Abteilung für die Untersuchung von High-Tech-Kriminalität der Group-IB, betont die Notwendigkeit ständiger Wachsamkeit in der sich ständig weiterentwickelnden Landschaft der Krypto-Phishing-Betrügereien und Cyber-Bedrohungen. Wachsam Cybersicherheit Praktiken und Sensibilisierung sind das A und O, um sich vor dem hartnäckigen Einfallsreichtum der Cyberkriminellen zu schützen.
Die Quellen für diesen Artikel sind unter anderem Artikel in Die Hacker-Nachrichten und CoinMarketCap.