該惡意軟體透過獲取您的信任竊取了數百萬歐元的加密貨幣

網路安全公司 Group-IB 揭露了一項利用虛假 Coinbase 網站針對加密貨幣用戶的惡意活動。以下是我們對他的了解。

Inferno Drainer 是一種新型、複雜的騙局，顧名思義，它能夠耗盡人們加密貨幣錢包中的所有資金，包括可替代和不可替代的代幣（NFT）。

它使用高品質的釣魚頁面來誘騙用戶將他們的加密貨幣錢包連接到攻擊者的伺服器。然後，它們會欺騙 Web3 協定來授權欺詐性交易。 Web3 協定是允許用戶與區塊鏈上的去中心化應用程式（DApp）互動的介面。

另請閱讀–涉嫌詐騙，他要求聯邦調查局歸還他扣押的加密貨幣

誰是這場新惡意活動的幕後黑手？

該騙局是由一群網路犯罪分子實施的，他們將惡意軟體作為服務提供給其他附屬機構，這些附屬機構可以託管自己的網路釣魚網站，也可以付費使用該組織的託管服務。所創建的團體超過 16,000 個獨特的網域模仿 100 多個平台，例如 Coinbase、Metamask、Uniswap 和 Binance。

Group-IB 分析了其中500 個域，發現它們包含一個基於JavaScript 的排水器，最初託管在GitHub 儲存庫(kuzdaz.github[.]io/seaport/seaport.js) 上，然後直接整合到網站上。使用者「kuzdaz」在 G​​itHub 上不再存在。另外 350 個網域包含類似的腳本“coinbase-wallet-sdk.js”，位於另一個 GitHub 儲存庫“kasrlorcian.github[.]io”上。

然後，該組織在 Discord 和 X（以前稱為 Twitter）等平台上傳播其網絡釣魚鏈接，引誘用戶進入向他們承諾免費代幣（稱為“空投”）並要求他們連接錢包。一旦用戶這樣做，Drainer 就會欺騙 Seaport、WalletConnect 和 Coinbase 等 Web3 協議，並執行未經授權的交易，從而耗盡用戶的資金。

一旦受害者連接錢包並批准交易，Drainer 就會簡單地從帳戶中提取所有資金，而不是接收空投，鑑於區塊鏈的性質，資金永遠失去了。

惡意軟體為駭客帶來了數百萬歐元的損失

Group-IB 分析師 Viacheslav Shevchenko 表示，該集團還試圖透過阻止用戶查看網站原始碼來隱藏惡意活動使用熱鍵或右鍵單擊。

地獄排水者活動並不是唯一的此類活動。本月早些時候，谷歌旗下的 Mandiant 的 X 帳戶遭到黑客攻擊，並被用來分發指向一個釣魚頁面的鏈接，該頁面託管著一個名為 CLINKSINK 的加密貨幣消耗器。

Group-IB 告訴《駭客新聞》，它預計「X 即服務」模式將繼續蓬勃發展，因為它為網路犯罪分子提供了一種簡單且有利可圖的方式來發起詐騙。他們還警告說官方帳號可能會更頻繁地成為攻擊目標車、車它們可以增強網路釣魚連結的可信度，並使用戶更有可能點擊它們。

該活動將在 2022 年至 2023 年間持續一年，並可能成功從超過 137,000 名受害者那裡竊取超過 8700 萬美元。因此是2023 年被盜的 20 億美元中的一小部分。據報道，Inferno Drainer 已於 2023 年 11 月關閉，但截至今年 1 月中旬，用戶面板仍然活躍。

此外，Group-IB 表示，Inferno Drainer 的成功可能會激發此類新惡意軟體的開發，並增加包含欺騙 Web3 協定的惡意腳本的網站。他還預測說2024年可能成為「排水器年」。