16 janvier 2024RédactionCrypto-monnaie / Cybermenace

Les opérateurs derrière le désormais disparu Égouttoir Inferno créé plus de 16 000 domaines malveillants uniques sur une période d’un an entre 2022 et 2023.

Le système “a exploité des pages de phishing de haute qualité pour inciter les utilisateurs sans méfiance à connecter leurs portefeuilles de crypto-monnaie à l’infrastructure des attaquants qui ont usurpé les protocoles Web3 pour inciter les victimes à autoriser les transactions”, a déclaré Group-IB, dont le siège est à Singapour. dit dans un rapport partagé avec The Hacker News.

La cyber-sécurité

Inferno Drainer, qui a été actif de novembre 2022 à novembre 2023, aurait récolté plus de 87 millions de dollars de profits illicites en escroquant plus de 137 000 victimes.

Le malware fait partie d’un ensemble plus large d’offres similaires disponibles pour les affiliés dans le cadre du modèle scam-as-a-service (ou drainer-as-a-service) en échange d’une réduction de 20 % de leurs revenus.

De plus, les clients d’Inferno Drainer pouvaient soit télécharger le malware sur leurs propres sites de phishing, soit utiliser le service du développeur pour créer et héberger des sites Web de phishing, soit sans frais supplémentaires, soit en facturant 30 % des actifs volés dans certains cas.

Selon Group-IB, l’activité a usurpé plus de 100 marques de cryptomonnaie via des pages spécialement conçues et hébergées sur plus de 16 000 domaines uniques.

Une analyse plus approfondie de 500 de ces domaines a révélé que le draineur basé sur JavaScript était initialement hébergé sur un référentiel GitHub (kuzdaz.github[.]io/seaport/seaport.js) avant de les intégrer directement sur les sites Internet. L’utilisateur “kuzdaz” n’existe pas actuellement.

De la même manière, un autre ensemble de 350 sites incluait un fichier JavaScript, « coinbase-wallet-sdk.js », sur un autre référentiel GitHub, « kasrlorcian.github[.]io.”

Ces sites se sont ensuite propagés sur des sites comme Discord et X (anciennement Twitter), incitant les victimes potentielles à cliquer dessus sous couvert d’offrir des jetons gratuits (alias airdrops) et de connecter leurs portefeuilles, auquel cas leurs actifs sont vidés une fois les transactions approuvées. .

La cyber-sécurité

En utilisant les noms seaport.js, coinbase.js et wallet-connect.js, l’idée était de se faire passer pour des protocoles Web3 populaires comme Seaport, WalletConnect et Coinbase pour effectuer les transactions non autorisées. Le premier site Internet contenant l’un de ces scripts remonte au 15 mai 2023.

“Une autre caractéristique typique des sites Web de phishing appartenant à Inferno Drainer était que les utilisateurs ne peuvent pas ouvrir le code source du site Web en utilisant des raccourcis clavier ou en cliquant avec le bouton droit de la souris”, a déclaré Viacheslav Shevchenko, analyste du Groupe-IB. “Cela signifie que les criminels ont tenté de cacher leurs scripts et leurs activités illégales à leurs victimes.”

Il convient de noter que le compte X de Mandiant, propriété de Google, a été compromis plus tôt ce mois-ci pour distribuer des liens vers une page de phishing hébergeant un draineur de crypto-monnaie suivi sous le nom de CLINKSINK.

« Nous pensons que le modèle « X en tant que service » continuera à prospérer, notamment parce qu’il crée de plus grandes opportunités pour les individus moins compétents techniquement de s’essayer à devenir des cybercriminels, et pour les développeurs, il s’agit d’un moyen très rentable de renforcer leur revenus », a déclaré la société à The Hacker News.

“Nous nous attendons également à voir une augmentation des tentatives de piratage de comptes officiels, car les messages prétendument rédigés par une voix faisant autorité sont susceptibles d’inspirer confiance aux yeux des téléspectateurs et peuvent inciter les victimes potentielles à suivre des liens et à connecter leurs comptes.”

En plus de cela, Group-IB a déclaré que le succès d’Inferno Drainer pourrait alimenter le développement de nouveaux draineurs et conduire à une augmentation du nombre de sites Web contenant des scripts malveillants usurpant les protocoles Web3, notant que 2024 pourrait devenir « l’année du draineur ».

“Inferno Drainer a peut-être cessé son activité, mais son importance tout au long de 2023 met en évidence les risques graves pour les détenteurs de crypto-monnaie alors que les draineurs continuent de se développer”, a déclaré Andrey Kolmakov, chef du département d’enquête sur les crimes de haute technologie du Group-IB.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57