Anúncios do Google e do Twitter estão promovendo sites que contêm um dreno de criptomoedas chamado 'MS Drainer', que já roubou $59 milhões de 63.210 vítimas nos últimos nove meses.
De acordo com analistas de ameaças de blockchain da ScamSniffer, eles descobriram mais de dez mil websites de phishing utilizando o dreno de março de 2023 até hoje, com picos de atividade observados em maio, junho e novembro.
Um dreno é um contrato inteligente malicioso ou, neste caso, um conjunto completo de phishing projetado para drenar fundos de uma carteira de criptomoedas de um usuário sem o seu consentimento.
Os usuários são levados para um site de phishing de aparência legítima e induzidos a aprovar contratos maliciosos, permitindo que o dreno execute automaticamente transações não autorizadas e transfira o dinheiro da vítima para o endereço da carteira do atacante.
O código-fonte do MS Drainer é vendido para cibercriminosos por $1.500 por um usuário chamado 'Pakulichev' ou 'PhishLab', que também cobra uma taxa de 20% sobre quaisquer fundos roubados com o kit de ferramentas.
PhishLab também vende módulos extras que adicionam novos recursos ao malware, custando entre $500 a $1.000.
De acordo com dados de blockchain sobre a atividade do MS Drainer, uma de suas vítimas na cadeia Ethereum perdeu $24 milhões em criptomoedas, enquanto outros casos notáveis envolvem vítimas perdendo entre $440.000 e $1,2 milhões.
No Google Search, o MS Drainer é promovido através de anúncios maliciosos que são exibidos para palavras-chave relacionadas a plataformas DeFi como Zapper, Lido, Stargate, Defillama, Orbiter Finance e Radiant.
Muitos desses anúncios exploram a brecha de template de rastreamento do Google Ads para fazer com que a URL apareça como pertencente ao domínio oficial do projeto falsificado.
No entanto, um redirecionamento leva aqueles que clicam para um site de phishing.
No Twitter, os anúncios para o MS Drainer são tão abundantes que a ScamSniffer relata que eles representam seis de nove anúncios de phishing em seu feed.
Curiosamente, muitos dos anúncios de fraude são postados de contas "verificadas" legítimas que exibiam o selo azul quando o anúncio foi exibido.
O pesquisador de segurança MalwareHunterTeam, que vem acompanhando anúncios semelhantes, disse ao BleepingComputer que acredita que os titulares das contas do Twitter podem ter sido infectados com malware que roubou seus cookies de autenticação ou senhas, permitindo que os atores de ameaças criassem anúncios a partir das contas hackeadas.
Estranhamente, o pesquisador falou com uma conta no Twitter que anunciava uma fraude de criptomoedas e foi informado de que não havia rastro dos anúncios em suas contas de publicidade.
No Twitter, os cibercriminosos usaram vários temas para seus anúncios, incluindo um chamado "Ordinals Bubbles", que promovia uma suposta coleção NFT (token não fungível) de edição limitada apresentando vários personagens encapsulados em bolhas.
Os anúncios também promoviam airdrops NFT e lançamentos de novos tokens em sites que contêm o dreno.
ScamSniffer diz que um método de detecção de desvio usado por esses anúncios é o geofencing, que apenas direciona usuários de regiões pré-definidas e redireciona o restante para sites legítimos/ inócuos.
Falsos negócios de criptomoedas têm sido sempre bem-sucedidos no Twitter, mas com contas confiáveis e violadas agora exibindo anúncios promovendo sites maliciosos, devemos esperar que esses tipos de ataques se tornem ainda mais exitosos.
Os usuários devem ter muito cuidado ao ver anúncios relacionados a criptomoedas e realizar due diligence antes de se inscrever em novas plataformas, muito menos de conectar suas carteiras.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...