Ciberseguridad 360 | Estafa millonaria utiliza malware Inferno disfrazado de Coinbase

Los operadores detr�s de la extinta Inferno Drainer crearon m�s de 16.000 dominios maliciosos �nicos en el lapso de un a�o, entre 2022 y 2023.

El esquema "aprovechaba p�ginas de phishing de alta calidad para atraer a usuarios desprevenidos y hacer que conectaran sus monederos de criptomonedas con la infraestructura de los atacantes, que falsificaban los protocolos Web3 para enga�ar a las v�ctimas y hacer que autorizaran las transacciones", afirma Group-IB, con sede en Singapur.

Se calcula que Inferno Drainer, que estuvo activo entre noviembre de 2022 y noviembre de 2023, obtuvo m�s de 87 millones de d�lares en beneficios il�citos estafando a m�s de 137.000 v�ctimas.

El malware forma parte de un conjunto m�s amplio de ofertas similares que est�n disponibles para los afiliados bajo el modelo de estafa como servicio (o drenador como servicio) a cambio de un 20% de sus ganancias.

Adem�s, los clientes de Inferno Drainer pod�an subir el malware a sus propios sitios de phishing o hacer uso del servicio del desarrollador para crear y alojar sitios web de phishing, sin coste adicional o cobrando el 30% de los activos robados en algunos casos.

Seg�n Group-IB, la actividad suplant� a m�s de 100 marcas de criptomonedas a trav�s de p�ginas especialmente dise�adas que se alojaban en m�s de 16.000 dominios �nicos.

Un an�lisis m�s detallado de 500 de estos dominios ha revelado que el drenador basado en JavaScript se alojaba inicialmente en un repositorio de GitHub (kuzdaz.github[.]io/seaport/seaport.js) antes de incorporarlos directamente a los sitios web. El usuario "kuzdaz" no existe actualmente.

De forma similar, otro conjunto de 350 sitios incluy� un archivo JavaScript, "coinbase-wallet-sdk.js", en un repositorio GitHub diferente, "kasrlorcian.github[.]io".

A continuaci�n, estos sitios se propagaban en sitios como Discord y X (antes Twitter), incitando a las v�ctimas potenciales a hacer clic en ellos con el pretexto de ofrecer tokens gratuitos (tambi�n conocidos como airdrops) y conectar sus monederos, momento en el que sus activos se vaciaban una vez aprobadas las transacciones.

Al utilizar los nombres seaport.js, coinbase.js y wallet-connect.js, la idea era hacerse pasar por protocolos Web3 populares como Seaport, WalletConnect y Coinbase para completar las transacciones no autorizadas. El sitio web m�s antiguo que contiene uno de estos scripts data del 15 de mayo de 2023.

"Otra caracter�stica t�pica de los sitios web de phishing pertenecientes a Inferno Drainer era que los usuarios no pod�an abrir el c�digo fuente del sitio web utilizando teclas de acceso r�pido o haciendo clic con el bot�n derecho del rat�n", afirma Viacheslav Shevchenko, analista de Group-IB. "Esto significa que los delincuentes intentaron ocultar sus scripts y su actividad ilegal a sus v�ctimas".

Vale la pena se�alar que la cuenta X de Mandiant, propiedad de Google, fue comprometida a principios de este mes para distribuir enlaces a una p�gina de phishing que alojaba un drenador de criptomonedas rastreado como CLINKSINK.

Creemos que el modelo "X como servicio" seguir� prosperando, entre otras cosas porque crea m�s oportunidades para que las personas menos competentes t�cnicamente intenten convertirse en ciberdelincuentes, y para los desarrolladores es una forma muy rentable de aumentar sus ingresos", declar� la empresa a The Hacker News.

"Tambi�n esperamos ver un aumento de los intentos de piratear cuentas oficiales, ya que las publicaciones supuestamente escritas por una voz autorizada probablemente inspiren confianza a los ojos de los espectadores, y pueden hacer que las v�ctimas potenciales sean m�s propensas a seguir los enlaces y conectar sus cuentas".

Adem�s de eso, Group-IB dijo que el �xito de Inferno Drainer podr�a alimentar el desarrollo de nuevos drenadores, as� como conducir a un aumento de sitios web que contienen scripts maliciosos que suplantan los protocolos Web3, se�alando que 2024 podr�a convertirse en el "a�o del drenador."

"Puede que Inferno Drainer haya cesado su actividad, pero su prominencia a lo largo de 2023 pone de relieve los graves riesgos que corren los titulares de criptomonedas a medida que los drainers siguen desarroll�ndose", declar� Andrey Kolmakov, jefe del Departamento de Investigaci�n de Delitos de Alta Tecnolog�a de Group-IB.

Fuente: thehackernews.com