“Inferno Drainer” olarak adlandırılan karmaşık bir kimlik avı kampanyası, bir kimliğe bürünme kumarında 100 farklı kripto para birimi markasını kullanarak, bir yıl boyunca farkında olmayan 137.000 kurbandan 80 milyon dolardan fazla kripto para birimini çekmeyi başardı.
Group-IB’ye göre saldırganlar, Kasım 2022 ile Kasım 2023 arasında yürütülen kampanya boyunca 16.000’den fazla benzersiz alan adı kullanarak kimlik avı sayfalarını barındırdı ve ardından kesintiye uğradı. Buna göre ScamSniffer’dan kripto-süzgeç verileriInferno Drainer, ölçeğini yenilikçi bir “hizmet olarak süzgeç” modelinden alan, mali zararlar açısından 2023’ün en öne çıkan kripto süzücüsü oldu.
Inferno Drainer şimdilik faaliyetini durdurmuş olsa da, 2023 yılı boyunca öne çıkması, kripto para birimi sahiplerinin karşı karşıya olduğu ciddi riskleri vurguluyor. Drainer kötü amaçlı yazılımı daha da gelişmeye devam ediyorGroup-IB ekibi Dark Reading’e (belirli bir araştırmacının kimliğinin gizli kalmasını talep ederek) anlatıyor.
“Çalmayı başardığı fonlarla ilgili başarısı, muhtemelen yeni zararlı yazılımların geliştirilmesinde, Web3 protokollerini taklit eden kötü amaçlı komut dosyaları içeren web sitelerinde bir artışta ve bu komut dosyalarını dağıtmak için son zamanlarda yapılanlar gibi yeni karmaşık yöntemlerde artışa yol açacaktır. Ledger’a siber saldırı” diyorlar. “2024’ün boşa giden yıl olacağı bir senaryo olabilir.”
Kripto Sahtekarlığı Kampanyasının Anatomisi
Inferno Drainer saldırısı sırasında saldırganlar iki düzeyde marka kimliğine bürünme kullandı.
İlk olarak, markaları taklit eden kötü amaçlı web sayfaları oluşturdular. CoinbaseKripto cüzdanlarını bağlamak için kullanılan , Seaport ve WalletConnect merkezi olmayan ticaret platformları ve diğer uygulamalar. Fikir, Group-IB’ye “şüphelenmeyen kullanıcıları kripto para birimi cüzdanlarını saldırganların altyapısına bağlamaya ikna etmek”ti. Inferno Drainer’ın analizi.
Başka bir deyişle, Marks meşru hizmetleri kullandıklarına inanıyordu, ancak gerçekte farkında olmadan fonların kötü niyetli olarak hortumlanmasına izin veriyorlardı.
Endişe verici bir şekilde, siber saldırganların bu amaçla kullandıkları komut dosyaları Web3 kimliğine bürünme Araştırmacılar, GitHub depolarında veya bir dosya paylaşım sitesinde barındırılan ayrı bir .ZIP dosyası olarak mevcut olduğunu belirtti.
Bu arada, saldırganlar ilk etapta hedefleri sitelere çekmek için X (eski adıyla Twitter) ve çeşitli Discord sunucuları dahil olmak üzere sosyal medya sitelerindeki sayfaları tanıttı. Yem olarak bedavaya söz verdiler “havadan yardımlar” (kripto-tokenlar), misli olmayan tokenler (NFT’ler) basma fırsatı veya ironik bir şekilde, siber suç faaliyetlerinin neden olduğu kesintiler için tazminat. Toplamda, Inferno Drainer saldırganları belirli koinler, tokenlar veya takas hizmetleri sunan düzinelerce şirketi kandırdı.
Inferno Drainer’ın Hizmet Olarak Dolandırıcılık Modeli
Kampanyanın dikkate değer yönlerinden biri de Inferno Drainer soygunlarının tek bir siber suç grubunun işi olmamasıdır; bunun yerine altyapı kiralanabiliyordu.
Analizde Group-IB araştırmacıları, “Bulaşık makinesinin geliştiricileri, kötü amaçlı yazılımlarını ilk gönderisi 5 Kasım 2022’de yayınlanan bir Telegram kanalında tanıttı” dedi. “Inferno Drainer’dan yararlanan siber suçlular, Aralık ayının ilk haftası itibarıyla hâlâ aktif olan bir müşteri paneline erişime sahipti; bu panel, onlara kötü amaçlı yazılımın özelliklerini ve cüzdanlarını bir ağ üzerinden bağlayan kurbanların sayısı gibi ayrıntılı önemli istatistikleri özelleştirme olanağı sağladı. belirli bir kimlik avı web sitesi, onaylanan işlemlerin sayısı ve çalınan varlıkların değeri.”
Kiralama modeli, geliştiricilere, süzgeç kullanımı karşılığında çalınan varlıkların %20’si için sabit bir oran sunuyordu. Siber suçlular kötü amaçlı yazılımı kendi kimlik avı sitelerine yükleyebilir; Group-IB uzmanları, çalınan varlıkların toplam %30’u için kimlik avı altyapısını geliştiricilerden kiralayabileceklerini veya ayrıca kiralayabileceklerini tespit etti.
“Diğer kötü amaçlı yazılım türleri, ör. fidye yazılımı, ‘hizmet olarak x’ modeli kapsamında sunuldu Daha önce, ancak şimdi bu çerçeveye göre çalışan süzgeçlerin popülaritesinin arttığını da görüyoruz” diyor araştırma ekibi Dark Reading’e.
Siber savunma açısından, kripto para sahipleri dikkatli olmalı ve ücretsiz dijital varlıkları veya airdropları tanıtan web sitelerine karşı dikkatli olmalıdır. Kendi açılarından, kripto para markalarının önünde, Group-IB’nin yakında yeni bir drenaj faaliyeti olacağına inandığı durumu engellemek için bir dizi görev var.
Araştırmacılar, “Her şeyden önce, kimlik avı web sitesi URL’leri gibi ilgili tüm bilgilerin kolluk kuvvetlerine iletilmesi gerekiyor” diyor. “İkincisi, kripto alanındaki işletmelerin kimlik avı web sitelerine karşı mücadele etme seçenekleri var. Siber güvenlik çözümleri… İnternetteki marka istismarı işaretlerini gerçek zamanlı olarak izleyebilir ve dolandırıcılığa yol açabilecek tehditleri anında tespit edip engelleyebilir.”