国际网络安全公司Group-IB 报告了现已解散的 Inferno Drainer 组织的活动,该组织在 2022 年至 2023 年间创建了超过 16000 个欺诈域名。
攻击者采用高质量的网络钓鱼页面,诱使用户将他们的加密货币钱包连接到欺诈者的基础设施。此攻击利用虚假的Web3协议,欺骗受害者授权交易。
Inferno Drainer 在 2022 年 11 月至 2023 年 11 月期间活跃,通过欺诈手段影响了超过 137,000 名受害者,非法获得逾 8700 万美元。此恶意软件包是通过 Drainer 即服务 ( DaaS ) 模型提供的各种类似产品中的一部分,并收取附属公司收入 20% 的版税。
Inferno Drainer的用户可以将恶意软件上传至他们的网络钓鱼网站,或者利用开发人员创建和托管此类网站,有时只获得被盗资产的30%。
通过对500个恶意域的分析发现,基于JavaScript的恶意软件最初是托管在GitHub上,然后直接集成到网站中。这些网站随后通过Discord、X *等平台传播,向受害者提供免费代币(称为“空投”),并连接到他们的钱包。之后,当交易获得批准时,资产就会被窃取。
最近,诈骗者正在利用这些免费代币引诱信息安全公司Mandiant的订阅者。该公司的个人资料在1月初遭到黑客攻击,并被攻击者用于谋取私利。
预计黑客官方账户的尝试将增加,因为声称来自权威人士的消息可能会激发信心,引诱受害者点击链接,从而将他们的积蓄交给攻击者。
在攻击中,诈骗者使用“seapport.js”、“coinbase.js”和“wallet-connect.js”等脚本名称来伪装成流行的 Web3 协议Seaport、Coinbase和WalletConnect,以进行未经授权的交易。
Group-IB 分析师指出,Inferno Drainer 网络钓鱼网站的一个典型特征是无法使用热键或右键单击打开网站的源代码。这表明犯罪分子试图向受害者隐藏他们的脚本和非法活动。
Group-IB 还表明,Inferno Drainer 的成功可能会引发新的 Drainer 的创建,并增加带有模仿 Web3 协议的欺诈性脚本的网站数量。
专家还强调,尽管 Inferno Drainer 活动已经停止,但这种恶意操作的影响给加密货币所有者带来了严重风险,因为此类攻击方法只会不断改进。
转自安全客,原文链接:https://www.anquanke.com/post/id/292687
暂无评论内容