Inferno Malware si è camuffato da Coinbase, svuotando 87 milioni di dollari da 137.000 vittime
Gli operatori dietro il defunto Inferno Drainer hanno generato più di 16.000 domini maligni unici nel corso di un anno, tra il 2022 e il 2023.
Il piano “ha sfruttato pagine di phishing di alta qualità per attirare utenti inconsapevoli a connettere i loro portafogli di criptovalute all’infrastruttura degli attaccanti che contraffacevano i protocolli Web3 per ingannare le vittime nell’autorizzare transazioni”, ha dichiarato Group-IB con sede a Singapore in un rapporto condiviso con The Hacker News.
Inferno Drainer, attivo da novembre 2022 a novembre 2023, è stimato aver guadagnato oltre 87 milioni di dollari in profitti illeciti truffando oltre 137.000 vittime.
Il malware fa parte di un insieme più ampio di offerte simili disponibili per affiliati sotto il modello di “truffa come servizio” (o “truffatore come servizio”) in cambio di una percentuale del 20% dei loro guadagni.
Inoltre, i clienti di Inferno Drainer potevano caricare il malware sui propri siti di phishing o utilizzare il servizio del developer per creare e ospitare siti di phishing, a costo zero o addebitando il 30% degli asset rubati in alcuni casi.
Secondo Group-IB, l’attività ha contraffatto oltre 100 marchi di criptovalute tramite pagine appositamente create ospitate su oltre 16.000 domini unici.
Ulteriori analisi di 500 di questi domini hanno rivelato che il drainer basato su JavaScript era inizialmente ospitato su un repository GitHub (kuzdaz.github[.]io/seaport/seaport.js) prima di essere incorporato direttamente nei siti web. L’utente “kuzdaz” attualmente non esiste.
In modo simile, un altro set di 350 siti includeva un file JavaScript, “coinbase-wallet-sdk.js”, su un diverso repository GitHub, “kasrlorcian.github[.]io”.
Questi siti sono stati poi diffusi su piattaforme come Discord e X (ex Twitter), allettando potenziali vittime a cliccare sotto la falsa promessa di offrire token gratuiti (chiamati anche airdrop) e connettere i loro portafogli, momento in cui i loro asset venivano svuotati una volta autorizzate le transazioni.
Utilizzando i nomi seaport.js, coinbase.js e wallet-connect.js, l’obiettivo era mascherarsi da popolari protocolli Web3 come Seaport, WalletConnect e Coinbase per completare transazioni non autorizzate. Il sito web più antico contenente uno di questi script risale al 15 maggio 2023.
“Un’altra caratteristica tipica dei siti di phishing appartenenti a Inferno Drainer era che gli utenti non potevano aprire il codice sorgente del sito utilizzando scorciatoie da tastiera o clic destro del mouse”, ha detto l’analista di Group-IB Viacheslav Shevchenko. “Ciò significa che i criminali hanno cercato di nascondere i loro script e le attività illegali alle loro vittime.”
È importante notare che l’account X di Mandiant, di proprietà di Google, è stato compromesso all’inizio di questo mese per distribuire collegamenti a una pagina di phishing che ospitava un drainer di criptovaluta identificato come CLINKSINK.
“Inferno Drainer potrebbe aver cessato la sua attività, ma la sua prominente presenza nel 2023 evidenzia i gravi rischi per i detentori di criptovalute mentre i drainer continuano a svilupparsi ulteriormente”, ha dichiarato Andrey Kolmakov, responsabile del Dipartimento di Investigazione sui Crimini High-Tech di Group-IB.