ClickCease El malware Inferno Drainer roba 87 millones de dólares haciéndose pasar por Coinbase

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El malware Inferno Drainer roba 87 millones de dólares haciéndose pasar por Coinbase

Wajahat Raja

29 de enero de 2024 - Equipo de expertos TuxCare

En una sorprendente saga de ciberdelincuencia que se desarrolló entre noviembre de 2022 y noviembre de 2023, el famoso Inferno Drainer, que opera bajo un modelo de modelo de estafa como servicioconsiguió amasar unos beneficios ilícitos superiores a 87 millones de dólares. El sofisticado malware Inferno Drainer supuso la creación de más de 16.000 dominios maliciososempleando tácticas avanzadas para engañar a usuarios desprevenidos.

El elaborado plan del malware Inferno Drainer

Los perpetradores detrás de Inferno Drainer aprovecharon páginas de phishing de alta calidad de alta calidad para atraer a los usuarios a conectar sus monederos de criptomonedas con la infraestructura de los atacantes. Esta configuración falsificaba los protocolos Web3 y engañaba a las víctimas para que autorizaran transacciones sin saberlo. Según un informe de Group-IB, con sede en Singapur, el malware estuvo activo durante el periodo mencionado y afectó a más de 137,000 víctimas.

Modelo de estafa como servicio

Inferno Drainer, que operaba bajo el modelo de estafa como servicio, ofrecía su kit de herramientas maliciosas a los afiliados a cambio de un 20% de sus ganancias ilícitas. Los clientes podían cargar el malware en sus propios sitios de phishing o utilizar el servicio del desarrollador para crear y alojar sitios web de phishing, cobrando en algunos casos el 30% de los activos robados.

Paisaje Post-Drenaje del Mono

La popularidad de la herramienta Drainer-as-a-Service aumentó tras el cierre de Monkey Drainer en marzo de 2023, lo que llevó a la aparición de otro servicio de drenaje de corta duración llamado Venom Drainer. Los datos de Scam Sniffer indican que el phishing de criptomonedas asociadas a kits de drenaje desviaron en conjunto 295,4 millones de dólares de unos 320.000 usuarios en 2023.

Red de engaños

El análisis de Group-IB revela que la actividad suplantó a más de 100 marcas de criptomonedas a través de páginas especialmente diseñadas y alojadas en más de 16.000 dominios únicos. El drenador basado en JavaScript residía inicialmente en un repositorio de GitHub antes de incorporarse directamente a los sitios web. En particular, los nombres de usuario asociados a estos repositorios, como "kuzdaz" y "kasrlorcian son inexistentes, lo que añade una capa adicional de anonimato a las actividades maliciosas.

Ingenioso engaño

Los sitios web de phishing afiliados a Inferno Drainer presentaban una característica distintiva: los usuarios no podían abrir el código fuente del sitio web mediante teclas de acceso rápido o haciendo clic con el botón derecho. Este esfuerzo deliberado por ocultar scripts y actividades ilegales tenía como objetivo mantener a las víctimas en la oscuridad sobre las transacciones fraudulentas en curso.

Modus operandi

Los atacantes utilizaron hábilmente los nombres seaport.js, coinbase.js y wallet-connect.js para hacerse pasar por protocolos Web3 populares como Seaport, WalletConnect y Coinbase. Los sitios web de phishing se propagaban en plataformas como Discord y X, tentando a las víctimas con promesas de tokens gratuitos (airdrops) e incitándolas a conectar sus monederos. Una vez que las víctimas aprobaban las transacciones, sus activos eran rápidamente drenados.

Cuentas comprometidas y amenazas futuras

En particular, la cuenta X de Mandiant, propiedad de Google, fue comprometida para distribuir enlaces a una página de phishing que alojaba un drenador de criptomonedas conocido como CLINKSINK. Esta variante de variante de Rainbow Drainer ha conseguido robar casi 4,17 millones de dólares a 3.947 usuarios de Solana sólo en el último mes.

El modelo "X como servicio

Los expertos creen que el modelo "X como servicio" persistirá, dando oportunidades a personas menos competentes técnicamente para aventurarse en la ciberdelincuencia. Para los desarrolladores, representa una vía muy rentable para aumentar sus ingresos. Se espera que aumente el compromiso de cuentas oficiales, con publicaciones aparentemente autorizadas, ya que tienden a infundir confianza en las víctimas potenciales, haciéndolas más propensas a seguir enlaces maliciosos y conectar sus cuentas.

La oleada inminente

Group-IB advierte que el éxito de Inferno Drainer podría dar lugar a nuevos drenadores y a un repunte de los sitios web que contienen scripts maliciosos que suplantan los protocolos Web3. El año 2024 podría etiquetarse como el "año del drenador". lo que supondría mayores riesgos para los titulares de criptomonedas.

Conclusión

Aunque este drenador basado en JavaScript puede haber cesado sus actividades maliciosas, los acontecimientos de 2023 subrayan los graves riesgos que corren los tenedores de criptomonedas a medida que evolucionan los drenadores. Andrey Kolmakov, jefe del Departamento de Investigación de Delitos de Alta Tecnología de Group-IB, subraya la necesidad de una vigilancia continua en el panorama en constante evolución de las estafas de crypto phishing y las ciberamenazas. Vigilante ciberseguridad ciberseguridad y la concienciación son primordiales para protegerse del persistente ingenio de los ciberdelincuentes.

 

Las fuentes de este artículo incluyen artículos en The Hacker News y CoinMarketCap.

Resumen
El malware Inferno Drainer roba 87 millones de dólares haciéndose pasar por Coinbase
Nombre del artículo
El malware Inferno Drainer roba 87 millones de dólares haciéndose pasar por Coinbase
Descripción
Descubra la amenaza del malware Inferno Drainer que se hace pasar por Coinbase. Descubre la estafa de 87 millones de dólares y aprende a salvaguardar tus activos hoy mismo.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín