Los responsables de Inferno Drainer (actualmente inactivo), generaron más de 16.000 dominios maliciosos únicos durante un período de un año operativo desde noviembre de 2022 hasta noviembre de 2023.

Group-IB detalla que:

El método consistió en utilizar páginas de phishing de alta calidad para atraer a usuarios desprevenidos y hacer que conectaran sus billeteras de criptomonedas con la infraestructura de los atacantes. Esta infraestructura falsificaba los protocolos Web3 con el objetivo de engañar a las víctimas y lograr que autorizaran transacciones.

Se estima que Inferno Drainer generó ganancias ilícitas superiores a los 87 millones de dólares al engañar a más de 137.000 víctimas. Este malware forma parte de un conjunto más amplio de servicios similares disponibles para afiliados a través del modelo de estafa como servicio.

Los usuarios de Inferno Drainer tenían la opción de cargar el malware en sus propios sitios de phishing o aprovechar el servicio del desarrollador para crear y alojar sitios web de phishing, con la posibilidad de hacerlo sin costo adicional o pagando el 30% de los activos robados en algunos casos.

Una característica distintiva de los sitios de phishing vinculados a este malware, es que los usuarios no pueden acceder al código fuente del sitio mediante el uso de atajos de teclado. Esto sugiere que, los ciberdelincuentes, intentaron ocultar sus scripts y actividades ilegales. La actividad del malware implicó la falsificación de más de 100 marcas de criptomonedas a través de páginas especialmente diseñadas, hospedadas en más de 16.000 dominios únicos.

En un conjunto de 500 dominios analizados, Inferno Drainer (basado en JavaScript) se originó inicialmente en un repositorio de GitHub (kuzdaz.github[.] io/seaport/seaport.js) antes de ser incorporado directamente en los sitios web (es relevante destacar que el usuario «kuzdaz» ya no existe). Otro conjunto de 350 sitios incluía un archivo JavaScript llamado «coinbase-wallet-sdk.js», alojado en un repositorio de GitHub diferente, «kasrlorcian.github[.] io».

Al utilizar nombres como seaport.js, coinbase.js y wallet-connect.js, la intención era simular ser protocolos Web3 populares como Seaport, WalletConnect y Coinbase para llevar a cabo transacciones no autorizadas.

Cabe destacar que la cuenta X de Mandiant (propiedad de Google), fue comprometida a principios de enero para distribuir enlaces a una página de phishing que albergaba un drenador de criptomonedas identificado como CLINKSINK.

El éxito que tuvo Inferno Drainer podría impulsar el desarrollo de nuevos drenadores, así como provocar un aumento en sitios web que contienen scripts maliciosos que suplantan protocolos Web3 durante el correr del 2024.

Fuente:

Inferno Malware Masqueraded as Coinbase, Drained $87 Million from 137,000 Victims