Inferno Drainer: история самой успешной криптовалютной аферы

Group-IB сообщила о деятельности ныне несуществующей операции Inferno Drainer, создавшей более 16 тысяч мошеннических доменов в период с 2022 по 2023 год.

Злоумышленники использовали высококачественные фишинговые страницы для привлечения пользователей, чтобы те подключали свои криптовалютные кошельки к инфраструктуре мошенников. При этом использовались поддельные Web3-протоколы, чтобы обманом заставить жертв авторизовать транзакции.

Inferno Drainer, активная с ноября 2022 по ноябрь 2023 года, незаконно заработала более $87 миллионов, обманув свыше 137 000 жертв. Этот вредоносный программный комплекс является частью широкого спектра подобных продуктов, доступных по модели «Drainer-as-a-service» (DaaS) с отчислениями в 20% от доходов аффилиатов.

Клиенты Inferno Drainer могли загружать вредоносное ПО на свои фишинговые сайты или использовать услуги разработчиков для создания и хостинга таких сайтов — иногда уже за 30% от украденных активов.

Анализ 500 таких вредоносных доменов показал, что вредоносное ПО на базе JavaScript изначально размещалось на GitHub, а затем интегрировалось непосредственно на веб-сайты. Затем эти сайты распространялись через такие платформы, как Discord и X *, предлагая жертвам бесплатные токены (так называемые «airdrops») и подключение их кошельков, после чего активы утекали при одобрении транзакций.

Именно такими бесплатными токенами мошенники недавно заманивали подписчиков ИБ-компании Mandiant, профиль которой в начале января был взломан и использован злоумышленниками в корыстных целях.

Ожидается, что попытки взлома официальных аккаунтов участятся, так как сообщения, якобы написанные авторитетными лицами, могут внушать доверие и заставлять жертв переходить по ссылкам, отдавая свои сбережения злоумышленникам.

В своих атаках мошенники использовали такие названия скриптов, как «seapоrt.js», «coinbаse.js» и «wallet-connect.js», чтобы маскировать их под популярные Web3-протоколы Seaport, Coinbase и WalletConnect для осуществления несанкционированных транзакций.

Аналитики Group-IB отмечают, что типичной особенностью фишинговых сайтов Inferno Drainer является невозможность открыть исходный код сайта с помощью горячих клавиш или правого клика мыши. Это указывает на попытки преступников скрыть свои скрипты и нелегальную деятельность от жертв.

Group-IB также предполагает, что успех Inferno Drainer может спровоцировать создание новых дрейнеров и увеличение числа сайтов с мошенническими скриптами, имитирующими Web3-протоколы.

Эксперты также подчеркнули, что, несмотря на прекращение активности Inferno Drainer, влияние этой вредоносной операции несёт серьёзные риски для владельцев криптовалют, поскольку подобные методы атак лишь продолжают совершенствоваться.

* Социальная сеть запрещена на территории Российской Федерации.