Kryptovaluta-Malware: Inferno Drainer
Kryptovaluta-malware kjent som Inferno Drainer er fortsatt aktiv, til tross for at utviklerne offentlig har annonsert at den var nedlagt. Malware har stjålet over 9 millioner dollar fra kryptovaluta-lommebøker de siste seks månedene.
For tiden aktiviteten
Ifølge cybersikkerhetsfirmaet Check Point Research har over 30 000 kryptovaluta-lommebøker blitt tømt av denne gjenoppståtte malware-kampanjen, der utviklerne hevdet å ha stoppet driften i november 2023. En talsperson for Check Point Research uttalte til Decrypt at tallet er basert på:
- Data innhentet gjennom reverse-engineering av drainerens JavaScript-kode,
- Dekryptering av konfigurasjonen fra C&C-serveren,
- Analyse av dens on-chain aktivitet.
Størsteparten av aktiviteten ble observert på Ethereum og Binance Chain.
Forbedringer i Malware
CPR-analytikere rapporterte også at Inferno Drainer sine smarte kontrakter, som ble lansert i 2023, fortsatt er aktive i dag, og at den nåværende versjonen av malware ser ut til å være forbedret sammenlignet med den forrige iterasjonen. Den rapporteres nå å kunne bruke engangs smarte kontrakter og krypterte on-chain konfigurasjoner, noe som gjør den vanskeligere å oppdage og forhindre angrep mot.
I tillegg har kommunikasjonen med kommandoserveren blitt obfusket gjennom proxy-baserte systemer, noe som gjør sporing av angrepene enda mer utfordrende.
Phishing-Kampanje
Gjenoppblomstringen av Inferno Drainer skjer parallelt med en phishing-kampanje som retter seg mot Discord-brukere. Ifølge CPR-analytikere har denne kampanjen utnyttet sosiale ingeniørteknikker ved å omdirigere brukere fra et legitimt Web3-prosjekts nettsted til et falskt nettsted som etterligner verifikasjonsopplevelsen til den populære Discord-botten Collab.Land.
Det falske Collab.Land-nettstedet inneholdt en kryptovaluta-drenser som lured brukere til å signere ondsinnede transaksjoner, og dermed ga angriperne tilgang til midlene deres.
Ved å kombinere rettet bedrag og effektive sosiale ingeniørteknikker har denne malware-kampanjen generert en «stabil økonomisk strøm identifisert gjennom blokkjedetransaksjonsanalyse,» ifølge CPR-analytikere.
Advarsler til Kryptovaluta-Brukere
Kryptovaluta-brukere oppfordres til å være ekstra forsiktige når de interagerer med ukjente plattformer. Den falske Collab.Land-boten som ble identifisert av CPR hadde bare subtile visuelle forskjeller fra den legitime boten, og cyberkriminelle bak bedraget vil sannsynligvis «fortsette å raffinere imitasjonen,» ifølge forskerne.
Siden den legitime Collab.Land-tjenesten krever at brukerne verifiserer lommeboken sin ved å signere, bemerker de at «selv erfarne kryptovaluta-brukere kan senke garden» når de blir presentert for den falske boten, noe som gjør det enda viktigere å verifisere ektheten før man kobler lommebøker til noen tjenester.
Konklusjon
Gjenoppveksten av Inferno Drainer er bare en av flere malware-kampanjer som har dukket opp de siste månedene. Hackere tar i bruk stadig mer sofistikerte teknikker for å implementere kryptovaluta-stjålermalware, og retter seg mot hackede e-postlister, open-source Python-biblioteker, og til og med forhåndslaster trojanere på falske Android-telefoner.