Phần mềm độc hại Inferno giả mạo Coinbase, rút 87 triệu đô la từ 137.000 nạn nhân


 Các nhà khai thác đằng sau Inferno Drainer hiện không còn tồn tại đã tạo ra hơn 16.000 tên miền độc hại duy nhất trong khoảng thời gian một năm từ năm 2022 đến năm 2023.

Kế hoạch này "tận dụng các trang lừa đảo chất lượng cao để thu hút người dùng không nghi ngờ kết nối ví tiền điện tử của họ với cơ sở hạ tầng của những kẻ tấn công giả mạo các giao thức Web3 để lừa nạn nhân ủy quyền giao dịch", Group-IB có trụ sở tại Singapore cho biết trong một báo cáo được chia sẻ với The Hacker VN.

Inferno Drainer, hoạt động từ tháng 11/2022 đến tháng 11/2023, ước tính đã thu về hơn 87 triệu USD lợi nhuận bất hợp pháp bằng cách lừa đảo hơn 137.000 nạn nhân.

Phần mềm độc hại là một phần của một tập hợp rộng hơn các dịch vụ tương tự có sẵn cho các chi nhánh theo mô hình lừa đảo dưới dạng dịch vụ (hoặc cống dưới dạng dịch vụ) để đổi lấy việc cắt giảm 20% thu nhập của họ.

Hơn nữa, khách hàng của Inferno Drainer có thể tải phần mềm độc hại lên các trang web lừa đảo của riêng họ hoặc sử dụng dịch vụ của nhà phát triển để tạo và lưu trữ các trang web lừa đảo, miễn phí hoặc tính phí 30% tài sản bị đánh cắp trong một số trường hợp.

Theo Group-IB, hoạt động này đã giả mạo tới 100 thương hiệu tiền điện tử thông qua các trang được tạo đặc biệt được lưu trữ trên hơn 16.000 tên miền duy nhất.

Phân tích sâu hơn về 500 tên miền này đã tiết lộ rằng trình thoát nước dựa trên JavaScript ban đầu được lưu trữ trên kho lưu trữ GitHub (kuzdaz.github [.] io/seaport/seaport.js) trước khi kết hợp trực tiếp trên website. Người dùng "kuzdaz" hiện không tồn tại.

Theo cách tương tự, một bộ 350 trang web khác bao gồm một tệp JavaScript, "coinbase-wallet-sdk.js", trên một kho lưu trữ GitHub khác, "kasrlorcian.github [.] ."

Các trang web này sau đó được tuyên truyền trên các trang web như Discord và X (trước đây là Twitter), lôi kéo các nạn nhân tiềm năng nhấp vào chúng dưới vỏ bọc cung cấp mã thông báo miễn phí (hay còn gọi là airdrop) và kết nối ví của họ, tại thời điểm đó tài sản của họ bị rút cạn sau khi giao dịch được chấp thuận.

Khi sử dụng tên seaport.js, coinbase.js và wallet-connect.js, ý tưởng là giả mạo các giao thức Web3 phổ biến như Seaport, WalletConnect và Coinbase để hoàn thành các giao dịch trái phép. Trang web sớm nhất chứa một trong những tập lệnh này có từ ngày 15/5/2023.

"Một tính năng điển hình khác của các trang web lừa đảo thuộc Inferno Drainer là người dùng không thể mở mã nguồn trang web bằng cách sử dụng phím nóng hoặc nhấp chuột phải", nhà phân tích Viacheslav Shevchenko của Group-IB cho biết. "Điều này có nghĩa là bọn tội phạm đã cố gắng che giấu kịch bản và hoạt động bất hợp pháp của chúng với nạn nhân."

Điều đáng chú ý là tài khoản X của Mandiant thuộc sở hữu của Google đã bị xâm phạm vào đầu tháng này để phân phối các liên kết đến một trang lừa đảo lưu trữ một trình rút tiền điện tử được theo dõi là CLINKSINK.

"Inferno Drainer có thể đã ngừng hoạt động, nhưng sự nổi bật của nó trong suốt năm 2023 làm nổi bật những rủi ro nghiêm trọng đối với những người nắm giữ tiền điện tử khi những người tiêu hao tiếp tục phát triển hơn nữa", Andrey Kolmakov, người đứng đầu Bộ phận Điều tra Tội phạm Công nghệ cao của Group-IB, cho biết.

Mới hơn Cũ hơn