İnferno Zararlı Yazılımı, Coinbase Maskesi Takarak 137.000 Mağdurdan 87 Milyon Dolar Çaldı.

Şimdi kapalı olan Inferno Drainer'ın arkasındaki operatörler, 2022 ve 2023 yılları arasında bir yıl süresince 16.000'den fazla benzersiz kötü amaçlı alan adı oluşturdu.

Singapur merkezli Group-IB'nin The Hacker News ile paylaştığı bir rapora göre, şema, "bilgisiz kullanıcıları kripto cüzdanlarını saldırganların altyapısıyla bağlamaya yönlendirmek için yüksek kaliteli dolandırıcılık sayfalarını kullandı; bu sayfalar, kurbanları işlemleri yetkilendirmeye ikna etmek amacıyla Web3 protokollerini taklit eden saldırgan altyapısını taklit etti."

Kasım 2022'den Kasım 2023'e kadar aktif olan Inferno Drainer'ın, 137.000'den fazla mağduru dolandırarak yasa dışı olarak 87 milyon doların üzerinde kazanç elde ettiği tahmin edilmektedir.

Bu zararlı yazılım, gelirlerinin %20'si karşılığında ortaklara sunulan dolandırıcılık hizmeti modeli altında faaliyet gösteren benzer tekliflerin geniş bir setinin bir parçasıdır.

Dahası, Inferno Drainer'ın müşterileri, ya zararlı yazılımı kendi dolandırıcılık sitelerine yükleyebilir ya da geliştiricinin hizmetini kullanarak, bu hizmet bazı durumlarda çalınan varlıkların %30'unu talep etmek veya hiçbir ek maliyet olmaksızın sahte web siteleri oluşturmak ve barındırmak için kullanabilirler.

Group-IB'ye göre, faaliyet, 16.000'den fazla benzersiz alan adında barındırılan özel olarak hazırlanmış sayfalar aracılığıyla 100'ün üzerinde kripto para markasını taklit etmiştir.

500'den fazla bu alan adlarından yapılan daha detaylı bir analiz, JavaScript tabanlı drainer'ın başlangıçta bir GitHub deposunda (kuzdaz.github[.]io/seaport/seaport.js) barındırıldığını ve daha sonra doğrudan web sitelerine entegre edildiğini ortaya çıkardı. "kuzdaz" adlı kullanıcı şu anda mevcut değildir.

Benzer bir şekilde, başka bir sette bulunan 350 site, "coinbase-wallet-sdk.js" adlı bir JavaScript dosyasını, "kasrlorcian.github[.]io" adlı farklı bir GitHub deposunda barındırıyordu.

Bu siteler daha sonra Discord ve X (önceki adıyla Twitter) gibi sitelerde yayıldı ve potansiyel kurbanları ücretsiz jetonlar (airdrop olarak da bilinir) teklifi altında tıklamaya yönlendirdi ve cüzdanlarını bağlamalarını istedi, bu noktada işlemler onaylandığında varlıkları boşaltılıyordu.

Web3 protokollerini taklit etmek için seaport.js, coinbase.js ve wallet-connect.js gibi isimlerin kullanılmasıyla, yetkisiz işlemleri tamamlamak amacıyla popüler Web3 protokollerini taklit etmek amaçlanmıştır. Bu komut dosyalarından birini içeren en eski web sitesi 15 Mayıs 2023 tarihine kadar uzanmaktadır.

"İnferno Drainer'a ait olan phishing sitelerinin diğer tipik bir özelliği, kullanıcıların hotkeys veya fare sağ tıklama ile web site kaynak kodunu açamamasıdır," diyor Group-IB analisti Viacheslav Shevchenko. "Bu, suçluların komut dosyalarını ve yasa dışı faaliyetlerini kurbanlarından gizlemeye çalıştığı anlamına gelmektedir."

Bu arada, Google'a ait Mandiant'in X hesabının bu ay başlarında bir kripto drainer'ı olan CLINKSINK'i barındıran bir phishing sayfasına bağlantılar dağıtmak için ele geçirildiği belirtiliyor.

"‘X as a service’ modelinin devam edeceğine inanıyoruz, en azından bu, teknik olarak daha az yetenekli bireylere cyber suçlu olma şansı verir ve geliştiriciler için gelirlerini artırmak için oldukça karlı bir yoldur," şirket, The Hacker News'e belirtti.

"Ayrıca, resmi hesapları hackleme girişimlerinde artış görmeyi bekliyoruz, çünkü otoriter bir ses tarafından yazılmış gibi görünen gönderiler, izleyicilerin gözlerinde güven oluşturma ihtimalini artırabilir ve potansiyel kurbanları bağlantıları takip etmeye ve hesaplarını bağlamaya daha fazla teşvik edebilir."

Bunun ötesinde, Group-IB, Inferno Drainer'ın başarısının yeni drainer'ların gelişimini teşvik edebileceğini ve Web3 protokollerini taklit eden kötü niyetli komut dosyalarını içeren web sitelerinde bir artışa neden olabileceğini belirtti ve 2024'ün "drainer yılı" olabileceğini belirtti.

"Inferno Drainer'ın faaliyeti sona ermiş olabilir, ancak 2023 boyunca gösterdiği etkinlik, drainer'ların daha da geliştirilmesiyle kripto para sahipleri için ciddi riskleri ortaya koyuyor," dedi Group-IB'nin Yüksek Teknoloji Suçları Soruşturma Departmanı Başkanı Andrey Kolmakov.

Etiket: #Cryptocurrency #CyberThreat #malware #coinbase

Kategori: Cryptocurrency

Eklenme Tarihi: 16.01.2024