De operators achter het inmiddels ter ziele gegane Inferno-afdruiprek tussen 2022 en 2023 meer dan 16.000 unieke kwaadaardige domeinen gecreëerd in een tijdsbestek van één jaar.
Het plan “maakte gebruik van phishing-pagina’s van hoge kwaliteit om nietsvermoedende gebruikers ertoe te verleiden hun cryptocurrency-portemonnees te verbinden met de infrastructuur van de aanvallers die Web3-protocollen vervalste om slachtoffers te misleiden om transacties te autoriseren”, zei de in Singapore gevestigde Group-IB in een rapport gedeeld met The Hacker News. .
Inferno Drainer, dat actief was van november 2022 tot november 2023, heeft naar schatting meer dan 87 miljoen dollar aan illegale winsten behaald door meer dan 137.000 slachtoffers op te lichten.
De malware maakt deel uit van een bredere reeks soortgelijke aanbiedingen die beschikbaar zijn voor aangesloten bedrijven onder het scam-as-a-service (of drainer-as-a-service) model in ruil voor een verlaging van 20% op hun inkomsten.
Bovendien kunnen klanten van Inferno Drainer de malware naar hun eigen phishing-sites uploaden, of gebruik maken van de service van de ontwikkelaar voor het maken en hosten van phishing-websites, zonder extra kosten of in sommige gevallen door 30% van de gestolen activa in rekening te brengen.
Volgens Group-IB vervalste de activiteit meer dan 100 cryptocurrency-merken via speciaal vervaardigde pagina’s die werden gehost op meer dan 16.000 unieke domeinen.
Verdere analyse van 500 van deze domeinen heeft uitgewezen dat de op JavaScript gebaseerde drainer aanvankelijk werd gehost op een GitHub-repository (kuzdaz.github[.]io/seaport/seaport.js) voordat u ze rechtstreeks op de websites plaatst. De gebruiker “kuzdaz” bestaat momenteel niet.
Op een vergelijkbare manier bevatte een andere reeks van 350 sites een JavaScript-bestand, “coinbase-wallet-sdk.js”, op een andere GitHub-repository, “kasrlorcian.github[.]io.”
Deze sites werden vervolgens gepropageerd op sites als Discord en X (voorheen Twitter), waardoor potentiële slachtoffers werden verleid om erop te klikken onder het mom van het aanbieden van gratis tokens (ook wel airdrops genoemd) en het verbinden van hun portemonnee, waarna hun activa worden leeggemaakt zodra de transacties zijn goedgekeurd. .
Door de namen seaport.js, coinbase.js en wallet-connect.js te gebruiken, was het idee om zich voor te doen als populaire Web3-protocollen zoals Seaport, WalletConnect en Coinbase om de ongeautoriseerde transacties te voltooien. De vroegste website met een van deze scripts dateert van 15 mei 2023.
“Een ander typisch kenmerk van phishing-websites van Inferno Drainer was dat gebruikers de broncode van de website niet kunnen openen met behulp van sneltoetsen of door met de rechtermuisknop te klikken”, aldus Group-IB-analist Viacheslav Shevchenko. “Dit betekent dat de criminelen probeerden hun scripts en illegale activiteiten voor hun slachtoffers te verbergen.”
Het is vermeldenswaard dat het X-account van Mandiant, eigendom van Google, eerder deze maand werd gecompromitteerd om links te verspreiden naar een phishing-pagina die een cryptocurrency-drainer host die wordt bijgehouden als CLINKSINK.
“Inferno Drainer mag dan zijn activiteiten hebben gestaakt, maar de bekendheid ervan in 2023 onderstreept de ernstige risico’s voor houders van cryptocurrency naarmate drainers zich verder blijven ontwikkelen”, zegt Andrey Kolmakov, hoofd van de High-Tech Crime Investigation Department van Group-IB.
