Los operadores detrás del ya desaparecido Escurridor del infierno creó más de 16.000 dominios maliciosos únicos en un lapso de un año entre 2022 y 2023.
El esquema «aprovechó páginas de phishing de alta calidad para atraer a usuarios desprevenidos a conectar sus billeteras de criptomonedas con la infraestructura de los atacantes que falsificaron los protocolos Web3 para engañar a las víctimas para que autorizaran transacciones», Group-IB, con sede en Singapur. dicho en un informe compartido con The Hacker News.
Se estima que Inferno Drainer, que estuvo activo desde noviembre de 2022 hasta noviembre de 2023, ha cosechado más de 87 millones de dólares en ganancias ilícitas estafando a más de 137.000 víctimas.
El malware es parte de un conjunto más amplio de ofertas similares que están disponibles para los afiliados bajo el modelo de estafa como servicio (o drenaje como servicio) a cambio de un recorte del 20% de sus ganancias.
Es más, los clientes de Inferno Drainer podrían cargar el malware en sus propios sitios de phishing o utilizar el servicio del desarrollador para crear y alojar sitios web de phishing, sin coste adicional o cobrando el 30% de los activos robados en algunos casos.
Según Group-IB, la actividad falsificó más de 100 marcas de criptomonedas a través de páginas especialmente diseñadas que estaban alojadas en más de 16.000 dominios únicos.
Un análisis más detallado de 500 de estos dominios ha revelado que el drenaje basado en JavaScript estaba alojado inicialmente en un repositorio de GitHub (kuzdaz.github[.]io/seaport/seaport.js) antes de incorporarlos directamente en los sitios web. El usuario «kuzdaz» actualmente no existe.
De manera similar, otro conjunto de 350 sitios incluía un archivo JavaScript, “coinbase-wallet-sdk.js”, en un repositorio de GitHub diferente, “kasrlorcian.github[.]yo.”
Luego, estos sitios se propagaron en sitios como Discord y X (anteriormente Twitter), atrayendo a víctimas potenciales a hacer clic en ellos con el pretexto de ofrecer tokens gratis (también conocidos como lanzamientos aéreos) y conectar sus billeteras, momento en el cual sus activos se agotan una vez que se aprueban las transacciones. .
Al usar los nombres seaport.js, coinbase.js y wallet-connect.js, la idea era hacerse pasar por protocolos Web3 populares como Seaport, WalletConnect y Coinbase para completar las transacciones no autorizadas. El primer sitio web que contiene uno de estos scripts se remonta al 15 de mayo de 2023.
«Otra característica típica de los sitios web de phishing pertenecientes a Inferno Drainer es que los usuarios no pueden abrir el código fuente del sitio web usando teclas de acceso rápido o haciendo clic con el botón derecho del ratón», dijo el analista de Group-IB Viacheslav Shevchenko. «Esto significa que los delincuentes intentaron ocultar sus guiones y actividades ilegales a sus víctimas».
Vale la pena señalar que la cuenta X de Mandiant, propiedad de Google, fue comprometida a principios de este mes para distribuir enlaces a una página de phishing que aloja un drenaje de criptomonedas rastreado como CLINKSINK.
«Es posible que Inferno Drainer haya cesado su actividad, pero su prominencia a lo largo de 2023 resalta los graves riesgos para los poseedores de criptomonedas a medida que los drenajes continúan desarrollándose», dijo Andrey Kolmakov, jefe del Departamento de Investigación de Delitos de Alta Tecnología del Grupo-IB.