网络安全公司 Group-IB 揭露了一项利用虚假 Coinbase 网站针对加密货币用户的恶意活动。以下是我们对他的了解。
Inferno Drainer 是一种新型、复杂的骗局,顾名思义,它能够耗尽人们加密货币钱包中的所有资金,包括可替代和不可替代的代币(NFT)。
它使用高质量的钓鱼页面来诱骗用户将他们的加密货币钱包连接到攻击者的服务器。然后,它们会欺骗 Web3 协议来授权欺诈性交易。 Web3 协议是允许用户与区块链上的去中心化应用程序(DApp)进行交互的接口。
谁是这一新恶意活动的幕后黑手?
该骗局是由一群网络犯罪分子实施的,他们将恶意软件作为服务提供给其他附属机构,这些附属机构可以托管自己的网络钓鱼网站,也可以付费使用该组织的托管服务。所创建的团体超过 16,000 个独特的域名模仿 100 多个平台,例如 Coinbase、Metamask、Uniswap 和 Binance。
Group-IB 分析了其中 500 个域,发现它们包含一个基于 JavaScript 的排水器,该排水器最初托管在 GitHub 存储库 (kuzdaz.github[.]io/seaport/seaport.js) 上,然后直接集成到网站上。用户“kuzdaz”在 GitHub 上不再存在。另外 350 个域包含类似的脚本“coinbase-wallet-sdk.js”,位于另一个 GitHub 存储库“kasrlorcian.github[.]io”上。
然后,该组织在 Discord 和 X(以前称为 Twitter)等平台上传播其网络钓鱼链接,引诱用户进入向他们承诺免费代币(称为“空投”)并要求他们连接钱包。一旦用户这样做,Drainer 就会欺骗 Seaport、WalletConnect 和 Coinbase 等 Web3 协议,并执行未经授权的交易,从而耗尽用户的资金。
一旦受害者连接钱包并批准交易,Drainer 就会简单地从账户中提取所有资金,而不是接收空投,鉴于区块链的性质,资金永远丢失了。
恶意软件给黑客带来了数百万欧元的损失
Group-IB 分析师 Viacheslav Shevchenko 表示,该集团还试图通过阻止用户查看网站源代码来隐藏恶意活动使用热键或右键单击。
地狱排水者活动并不是唯一的此类活动。本月早些时候,谷歌旗下的 Mandiant 的 X 账户遭到黑客攻击,并被用来分发指向一个钓鱼页面的链接,该页面托管着一个名为 CLINKSINK 的加密货币消耗器。
Group-IB 告诉《黑客新闻》,它预计“X 即服务”模式将继续蓬勃发展,因为它为网络犯罪分子提供了一种简单且有利可图的方式来发起诈骗。他们还警告说官方账户可能会更频繁地成为攻击目标车、车它们可以增强网络钓鱼链接的可信度,并使用户更有可能点击它们。
该活动将在 2022 年至 2023 年间持续一年,并可能成功从超过 137,000 名受害者那里窃取超过 8700 万美元。因此是2023 年被盗的 20 亿美元中的一小部分。据报道,Inferno Drainer 已于 2023 年 11 月关闭,但截至今年 1 月中旬,用户面板仍然活跃。
此外,Group-IB 表示,Inferno Drainer 的成功可能会激发此类新恶意软件的开发,并增加包含欺骗 Web3 协议的恶意脚本的网站。他还预测2024年可能成为“排水器年”。
