A
Cardwork
Команда форума
Ofline
Group-IB сообщила о деятельности ныне несуществующей операции Inferno Drainer, создавшей более 16 тысяч мошеннических доменов в период с 2022 по 2023 год.
Злоумышленники использовали высококачественные фишинговые страницы для привлечения пользователей, чтобы те подключали свои криптовалютные кошельки к инфраструктуре мошенников. При этом использовались поддельные Web3-протоколы, чтобы обманом заставить жертв авторизовать транзакции.
Inferno Drainer, активная с ноября 2022 по ноябрь 2023 года, незаконно заработала более $87 миллионов, обманув свыше 137 000 жертв. Этот вредоносный программный комплекс является частью широкого спектра подобных продуктов, доступных по модели «Drainer-as-a-service» (DaaS) с отчислениями в 20% от доходов аффилиатов.
Клиенты Inferno Drainer могли загружать вредоносное ПО на свои фишинговые сайты или использовать услуги разработчиков для создания и хостинга таких сайтов — иногда уже за 30% от украденных активов.
Анализ 500 таких вредоносных доменов показал, что вредоносное ПО на базе JavaScript изначально размещалось на GitHub, а затем интегрировалось непосредственно на веб-сайты. Затем эти сайты распространялись через такие платформы, как Discord и X *, предлагая жертвам бесплатные токены (так называемые «airdrops») и подключение их кошельков, после чего активы утекали при одобрении транзакций.
Именно такими бесплатными токенами мошенники недавно заманивали подписчиков ИБ-компании Mandiant, профиль которой в начале января был взломан и использован злоумышленниками в корыстных целях.
Ожидается, что попытки взлома официальных аккаунтов участятся, так как сообщения, якобы написанные авторитетными лицами, могут внушать доверие и заставлять жертв переходить по ссылкам, отдавая свои сбережения злоумышленникам.
В своих атаках мошенники использовали такие названия скриптов, как «seapоrt.js», «coinbаse.js» и «wallet-connect.js», чтобы маскировать их под популярные Web3-протоколы Seaport, Coinbase и WalletConnect для осуществления несанкционированных транзакций.
Аналитики Group-IB отмечают, что типичной особенностью фишинговых сайтов Inferno Drainer является невозможность открыть исходный код сайта с помощью горячих клавиш или правого клика мыши. Это указывает на попытки преступников скрыть свои скрипты и нелегальную деятельность от жертв.
Group-IB также предполагает, что успех Inferno Drainer может спровоцировать создание новых дрейнеров и увеличение числа сайтов с мошенническими скриптами, имитирующими Web3-протоколы.
Эксперты также подчеркнули, что, несмотря на прекращение активности Inferno Drainer, влияние этой вредоносной операции несёт серьёзные риски для владельцев криптовалют, поскольку подобные методы атак лишь продолжают совершенствоваться.
Злоумышленники использовали высококачественные фишинговые страницы для привлечения пользователей, чтобы те подключали свои криптовалютные кошельки к инфраструктуре мошенников. При этом использовались поддельные Web3-протоколы, чтобы обманом заставить жертв авторизовать транзакции.
Inferno Drainer, активная с ноября 2022 по ноябрь 2023 года, незаконно заработала более $87 миллионов, обманув свыше 137 000 жертв. Этот вредоносный программный комплекс является частью широкого спектра подобных продуктов, доступных по модели «Drainer-as-a-service» (DaaS) с отчислениями в 20% от доходов аффилиатов.
Клиенты Inferno Drainer могли загружать вредоносное ПО на свои фишинговые сайты или использовать услуги разработчиков для создания и хостинга таких сайтов — иногда уже за 30% от украденных активов.
Анализ 500 таких вредоносных доменов показал, что вредоносное ПО на базе JavaScript изначально размещалось на GitHub, а затем интегрировалось непосредственно на веб-сайты. Затем эти сайты распространялись через такие платформы, как Discord и X *, предлагая жертвам бесплатные токены (так называемые «airdrops») и подключение их кошельков, после чего активы утекали при одобрении транзакций.
Именно такими бесплатными токенами мошенники недавно заманивали подписчиков ИБ-компании Mandiant, профиль которой в начале января был взломан и использован злоумышленниками в корыстных целях.
Ожидается, что попытки взлома официальных аккаунтов участятся, так как сообщения, якобы написанные авторитетными лицами, могут внушать доверие и заставлять жертв переходить по ссылкам, отдавая свои сбережения злоумышленникам.
В своих атаках мошенники использовали такие названия скриптов, как «seapоrt.js», «coinbаse.js» и «wallet-connect.js», чтобы маскировать их под популярные Web3-протоколы Seaport, Coinbase и WalletConnect для осуществления несанкционированных транзакций.
Аналитики Group-IB отмечают, что типичной особенностью фишинговых сайтов Inferno Drainer является невозможность открыть исходный код сайта с помощью горячих клавиш или правого клика мыши. Это указывает на попытки преступников скрыть свои скрипты и нелегальную деятельность от жертв.
Group-IB также предполагает, что успех Inferno Drainer может спровоцировать создание новых дрейнеров и увеличение числа сайтов с мошенническими скриптами, имитирующими Web3-протоколы.
Эксперты также подчеркнули, что, несмотря на прекращение активности Inferno Drainer, влияние этой вредоносной операции несёт серьёзные риски для владельцев криптовалют, поскольку подобные методы атак лишь продолжают совершенствоваться.
Статистика форума
- Темы
- 31,625
- Пользователи
- 80,434
- Новый пользователь
- merchantery
Пользователи онлайн
- Cyharlesskype
31,625Темы
307,109Сообщения
80,434Пользователи
merchanteryНовый пользователь