Artık kullanılmayan sistemin arkasındaki operatörler Cehennem Süzgeci 2022 ile 2023 arasındaki bir yıllık süre içinde 16.000’den fazla benzersiz kötü amaçlı alan oluşturdu.
Singapur merkezli Group-IB, The Hacker News ile paylaştığı bir raporda, planın “şüphelenmeyen kullanıcıları, kripto para birimi cüzdanlarını, kurbanları işlemlere izin vermeleri için kandırmak amacıyla Web3 protokollerini taklit eden saldırganların altyapısına bağlamaya ikna etmek için yüksek kaliteli kimlik avı sayfalarından yararlandığını” söyledi. .
Kasım 2022’den Kasım 2023’e kadar aktif olan Inferno Drainer’ın 137.000’den fazla kurbanı dolandırarak 87 milyon doların üzerinde yasa dışı kar elde ettiği tahmin ediliyor.
Kötü amaçlı yazılım, kazançlarından %20 kesinti karşılığında hizmet olarak dolandırıcılık (veya hizmet olarak süzgeç) modeli kapsamında bağlı kuruluşlara sunulan daha geniş bir benzer teklifler kümesinin bir parçasıdır.
Dahası, Inferno Drainer’ın müşterileri kötü amaçlı yazılımı kendi kimlik avı sitelerine yükleyebilir veya geliştiricinin kimlik avı web siteleri oluşturma ve barındırma hizmetinden hiçbir ekstra ücret ödemeden veya bazı durumlarda çalınan varlıkların %30’unu ücretlendirmeden yararlanabilir.
Group-IB’ye göre etkinlik, 16.000’den fazla benzersiz alanda barındırılan özel hazırlanmış sayfalar aracılığıyla 100’den fazla kripto para birimi markasını taklit etti.
Bu alanların 500’ünün daha ayrıntılı analizi, JavaScript tabanlı filtrenin başlangıçta bir GitHub deposunda (kuzdaz.github) barındırıldığını ortaya çıkardı.[.]io/seaport/seaport.js) bunları doğrudan web sitelerine eklemeden önce. “kuzdaz” kullanıcısı şu anda mevcut değil.
Benzer şekilde, 350 siteden oluşan başka bir grup, farklı bir GitHub deposu olan “kasrlorcian.github”da “coinbase-wallet-sdk.js” adlı bir JavaScript dosyası içeriyordu.[.]ıo.”
Bu siteler daha sonra Discord ve X (eski adıyla Twitter) gibi sitelerde yayıldı ve potansiyel kurbanları ücretsiz jetonlar (aka airdrop) sunma ve cüzdanlarını bağlama kisvesi altında bu sitelere tıklamaya ikna etti; bu noktada işlemler onaylandıktan sonra varlıkları boşaltıldı. .
Seaport.js, coinbase.js ve Wallet-connect.js adlarını kullanırken amaç, yetkisiz işlemleri tamamlamak için Seaport, WalletConnect ve Coinbase gibi popüler Web3 protokollerini taklit etmekti. Bu komut dosyalarından birini içeren en eski web sitesi 15 Mayıs 2023’e kadar uzanıyor.
Group-IB analisti Viacheslav Shevchenko, “Inferno Drainer’a ait kimlik avı web sitelerinin bir diğer tipik özelliği de kullanıcıların kısayol tuşlarını kullanarak veya fareye sağ tıklayarak web sitesi kaynak kodunu açamamasıydı” dedi. “Bu, suçluların senaryolarını ve yasa dışı faaliyetlerini kurbanlarından gizlemeye çalıştıkları anlamına geliyor.”
Google’a ait Mandiant’ın X hesabının, bu ayın başlarında CLINKSINK olarak takip edilen bir kripto para birimi filtresini barındıran bir kimlik avı sayfasına bağlantılar dağıtmak amacıyla ele geçirildiğini belirtmekte fayda var.
Group-IB’nin Yüksek Teknoloji Suç Soruşturma Departmanı başkanı Andrey Kolmakov, “Inferno Drainer faaliyetini durdurmuş olabilir, ancak 2023 boyunca öne çıkması, drenajlar daha da gelişmeye devam ederken kripto para sahipleri için ciddi risklerin bulunduğunu gösteriyor” dedi.