Le logiciel malveillant Inferno Drainer vole 87 millions de dollars en se faisant passer pour Coinbase
Dans une étonnante saga cybercriminelle qui s'est déroulée entre novembre 2022 et novembre 2023, le tristement célèbre Inferno Drainer, qui opère selon un modèle d'escroquerie en tant que service, a été condamné à une amende de 1,5 million d'euros. modèle d'escroquerie en tant que servicea réussi à accumuler des profits illicites dépassant 87 millions de dollars. Le logiciel malveillant sophistiqué malware Inferno Drainer sophistiqué a impliqué la création de plus de 16 000 domaines malveillantsen utilisant des tactiques avancées pour tromper les utilisateurs peu méfiants.
Le schéma élaboré du logiciel malveillant Inferno Drainer
Les auteurs d'Inferno Drainer ont tiré parti de des pages d'hameçonnage de grande qualité pour inciter les utilisateurs à connecter leurs portefeuilles de crypto-monnaies à l'infrastructure des attaquants. Cette configuration usurpait les protocoles Web3 et trompait les victimes en les incitant à autoriser des transactions à leur insu. Selon un rapport du Group-IB, basé à Singapour, le logiciel malveillant a été actif au cours de la période susmentionnée et a ciblé plus de 137,000 victimes.
Modèle d'escroquerie en tant que service
Fonctionnant selon le modèle de l'escroquerie en tant que service, Inferno Drainer proposait sa boîte à outils malveillante aux affiliés en échange d'une part de 20 % de leurs gains mal acquis. Les clients pouvaient soit télécharger les logiciels malveillants sur leurs propres sites d'hameçonnage, soit utiliser le service du développeur pour créer et héberger des sites d'hameçonnage, certains facturant 30 % des actifs volés.
Paysage post-drainage de singe
La popularité de l'outil Drainer-as-a-Service a augmenté après la fermeture de Monkey Drainer en mars 2023, ce qui a conduit à l'émergence d'un autre service de drainage éphémère appelé Venom Drainer. Les données de Scam Sniffer indiquent que le hameçonnage de crypto-monnaies associés aux kits de draineurs ont collectivement détourné 295,4 millions de dollars auprès d'environ 320 000 utilisateurs en 2023.
La toile de la tromperie
L'analyse du Group-IB révèle que l'activité a usurpé plus de 100 marques de crypto-monnaies par le biais de pages spécialement conçues et hébergées sur plus de 16 000 domaines uniques. Le drainer basé sur JavaScript résidait initialement sur un dépôt GitHub. dépôt GitHub avant d'être directement intégré dans des sites web. Notamment, les noms d'utilisateur associés à ces dépôts, tels que "kuzdaz" et "kasrlorcian". sont inexistants, ce qui ajoute une couche supplémentaire d'anonymat aux activités malveillantes.
Tromperie ingénieuse
Les sites de phishing affiliés à Inferno Drainer présentaient une caractéristique distinctive : les utilisateurs ne pouvaient pas ouvrir le code source du site web à l'aide de touches de raccourci ou en cliquant avec le bouton droit de la souris. Cet effort délibéré pour dissimuler les scripts et les activités illégales visait à maintenir les victimes dans l'ignorance des transactions frauduleuses en cours.
Modus Operandi
Les attaquants ont habilement utilisé les noms seaport.js, coinbase.js et wallet-connect.js pour se faire passer pour des protocoles Web3 populaires tels que Seaport, WalletConnect et Coinbase. Les sites web d'hameçonnage ont été diffusés sur des plateformes telles que Discord et X, attirant les victimes avec des promesses de jetons gratuits (airdrops) et les incitant à connecter leurs portefeuilles. Une fois que les victimes ont approuvé les transactions, leurs avoirs ont été rapidement drainés.
Comptes compromis et menaces futures
Notamment, le compte X de Mandiant, propriété de Google, a été compromis pour distribuer des liens vers une page d'hameçonnage (phishing). page de phishing hébergeant un draineur de crypto-monnaie connu sous le nom de CLINKSINK. Cette variante de Rainbow Drainer a réussi à dérober près de 4,17 millions de dollars à 3 947 utilisateurs de Solana au cours du seul mois dernier.
Le modèle "X en tant que service
Les experts estiment que le modèle "X en tant que service" persistera, offrant aux personnes moins compétentes techniquement la possibilité de s'aventurer dans la cybercriminalité. Pour les développeurs, il s'agit d'un moyen très rentable d'augmenter leurs revenus. La compromission des comptes officiels, avec des messages apparemment rédigés par des personnes faisant autorité, devrait augmenter, car elle tend à inspirer confiance aux victimes potentielles, ce qui les rend plus susceptibles de suivre des liens malveillants et de connecter leurs comptes.
La montée en puissance imminente
Le Group-IB prévient que le succès d'Inferno Drainer pourrait donner lieu à l'apparition de nouveaux draineurs et à une augmentation du nombre de sites web contenant des scripts malveillants usurpant les protocoles Web3. L'année 2024 pourrait être qualifiée d'"année du draineur". "année du draineur". des risques accrus pour les détenteurs de crypto-monnaies.
Conclusion
Bien que ce draineur basé sur JavaScript ait cessé ses activités malveillantes, les événements de 2023 soulignent les risques graves encourus par les détenteurs de crypto-monnaies du fait de l'évolution des draineurs. Andrey Kolmakov, responsable du département d'enquête sur la criminalité de haute technologie du Group-IB, insiste sur la nécessité de rester vigilant face à l'évolution constante du paysage des escroqueries par hameçonnage de crypto-monnaies et des cybermenaces. La vigilance cybersécurité de cybersécurité et la sensibilisation sont essentielles pour se prémunir contre l'ingéniosité persistante des cybercriminels.
Les sources de cet article comprennent des articles dans The Hacker News et CoinMarketCap.