Malware Inferno se Disfarçou como Coinbase, Drenou US$87 Milhões de 137.000 Vítimas
16 de Janeiro de 2024

Os operadores por trás do agora extinto Inferno Drainer criaram mais de 16.000 domínios maliciosos únicos ao longo de um ano entre 2022 e 2023.

O esquema "utilizou páginas de phishing de alta qualidade para atrair usuários desavisados a conectar suas carteiras de criptomoedas com a infraestrutura dos atacantes que falsificaram protocolos Web3 para enganar as vítimas a autorizar transações", disse a Group-IB, sediada em Singapura, em um relatório compartilhado com The Hacker News.

Inferno Drainer, que esteve ativo de novembro de 2022 a novembro de 2023, é estimado ter colhido mais de 87 milhões de dólares em lucros ilícitos ao enganar mais de 137.000 vítimas.

O malware faz parte de um conjunto mais amplo de ofertas semelhantes que estão disponíveis para afiliados no modelo de fraude como serviço (ou drenagem como serviço) em troca de 20% de seus ganhos.

Além disso, os clientes do Inferno Drainer poderiam fazer o upload do malware em seus próprios sites de phishing, ou usar o serviço do desenvolvedor para criar e hospedar sites de phishing, custando nada ou até mesmo 30% dos ativos roubados em certos casos.

De acordo com Group-IB, a atividade falsificou mais de 100 marcas de criptomoedas por meio de páginas especialmente criadas hospedadas em mais de 16.000 domínios únicos.

Análises adicionais de 500 desses domínios revelaram que o dreno baseado em JavaScript foi hospedado inicialmente em um repositório do GitHub (kuzdaz.github[.]io/seaport/seaport.js) antes de incorporá-los diretamente nos sites.

O usuário "kuzdaz" atualmente não existe.

De maneira semelhante, outro conjunto de 350 sites incluiu um arquivo JavaScript, "coinbase-wallet-sdk.js", em um repositório GitHub diferente, "kasrlorcian.github[.]io".

Esses sites foram então propagados em sites como Discord e Twitter, atraindo potenciais vítimas a clicar neles sob o disfarce de oferecer tokens gratuitos (aka airdrops) e conectar suas carteiras, momento em que seus ativos são drenados assim que as transações são aprovadas.

Ao usar os nomes seaport.js, coinbase.js e wallet-connect.js, a ideia era se disfarçar como protocolos Web3 populares, como Seaport, WalletConnect e Coinbase, para concluir as transações não autorizadas.

O site mais antigo contendo um desses scripts remonta a 15 de maio de 2023.

"Outra característica típica dos sites de phishing pertencentes ao Inferno Drainer é que os usuários não conseguem abrir o código-fonte do site usando teclas de atalho ou clicando com o botão direito do mouse", disse o analista da Group-IB, Viacheslav Shevchenko.

"Isso significa que os criminosos tentaram esconder seus scripts e atividades ilegais de suas vítimas."
Vale a pena notar que a conta Twitter do Mandiant, de propriedade do Google, foi comprometida no início deste mês para distribuir links para uma página de phishing que hospeda um dreno de criptomoeda rastreado como CLINKSINK.

"Acreditamos que o modelo 'Twitter como serviço' continuará a prosperar, não apenas porque cria maiores oportunidades para indivíduos menos tecnicamente competentes tentarem se tornar cibercriminosos, mas também para os desenvolvedores, é uma maneira altamente lucrativa de aumentar suas receitas", disse a empresa a The Hacker News.

"Também esperamos ver um aumento nas tentativas de hackear contas oficiais, pois as postagens supostamente escritas por uma voz autoritária são mais propensas a inspirar confiança aos olhos dos espectadores e podem tornar as vítimas em potencial mais propensas a seguir links e conectar suas contas."

Além disso, a Group-IB disse que o sucesso do Inferno Drainer poderia impulsionar o desenvolvimento de novos drenos, bem como levar a um aumento nos sites contendo scripts maliciosos que falsificam protocolos Web3, observando que 2024 poderia se tornar o "ano do dreno" .

"Inferno Drainer pode ter cessado sua atividade, mas sua proeminência ao longo de 2023 destaca os graves riscos para os detentores de criptomoedas à medida que os drenos continuam a se desenvolver", disse Andrey Kolmakov, chefe do Departamento de Investigação de Crimes de Alta Tecnologia da Group-IB.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...