Grup-IB Global Pvt. Ltd., kripto para birimi cüzdan sağlayıcılarını hedef alan bir kimlik avı operasyonu olan Inferno Drainer hakkında şok edici ayrıntıları açıkladı. Hizmet olarak dolandırıcılık modeli altında işletilen çok zincirli bir kripto emicinin konuşlandırılmasını içeren dolandırıcılık, 100’den fazla markayı ve 16.000 kötü amaçlı alan adını hedef alarak Kasım 2022’den Kasım 2023’e kadar 80 milyon doların üzerinde dijital varlık çaldı. Faaliyetlerini durdurdu. Önemli mali hasara neden olduktan sonra Kasım 2023’te.
Group-IB’nin blog gönderisinde, Inferno Drainer ekibinin “137.000’den fazla kurbanı dolandırarak 87 milyon dolardan fazla yasa dışı kar elde ettiği tahmin ediliyor” deniyor.
Araştırmacılar, Seaport, WalletConnect ve Coinbase protokollerini taklit eden kötü amaçlı komut dosyaları içeren, 5.500’den fazlası sahte ve 550’si komut dosyası içeren 14.000’den fazla kimlik avı web sitesi keşfetti. Dolandırıcıların Telegram kanal açıklamasında yalnızca geliştiricisi ve teknik destek sağlayıcısı olduğu varsayılan @Mr_inferno_Drainer’dan bahsediliyor, oysa ekibin halka açık ilk sözü kanalın oluşturulduğu gün olan 5 Kasım 2022’de gerçekleşti.
Inferno Drainer ekibi, şüphelenmeyen kullanıcıları web sitelerine çekmek için yüksek kaliteli kimlik avı sayfaları kullandı. Kurbanları X, Telegram ve Discord gibi sosyal medya platformları aracılığıyla hedef aldılar ve airdrop adı verilen ücretsiz tokenlar ve değiştirilemez tokenların basılması için ödüller sundular. Google’a ait Mandiant’ın X hesabı da ele geçirildi ve CLINKSINK adlı kripto para toplayıcıyı barındıran kimlik avı sayfasına bağlantılar dağıtıldı.
Group-IB, 500 alanı analiz etti ve GitHub deposunda “kuzdaz” kullanıcısı tarafından barındırılan JavaScript tabanlı bir filtre buldu. Farklı bir depoda 350 siteden oluşan başka bir grup bulundu.
Bu siteler, kurbanları potansiyel zenginlikler için cüzdanlarını bağlamaya teşvik ederken, kötü amaçlı komut dosyaları da yetkisiz işlemleri tamamlamak üzere tasarlandı. Dolandırıcılık operatörleri çalınan varlıkların %20’si kadar sabit bir oran talep ederken, bağlı kuruluşlar kazançlarının %80’ini elinde tuttu. Kötü amaçlı işlemler başlatmak için DApp’ler altındaki Web3 protokollerini (Seaport, WalletConnect ve Coinbase dahil) taklit ettiler.
Bağlı kuruluşlar için, kötü amaçlı yazılım özelliklerini özelleştirmek için bir müşteri paneli ve her bir kimlik avı web sitesinde cüzdanlarına bağlanan kurbanların sayısı, onaylanan işlemlerin sayısı ve çalınan varlıkların değeri dahil olmak üzere ayrıntılı istatistikler sunuldu.
Group-IB’nin Yüksek Teknoloji Suçları Soruşturma Departmanı’ndan Andrey Kolmakov, grubun Kasım ayında faaliyetlerini durdurduğu iddiasına rağmen bu kontrol panelinin Aralık ayı boyunca aktif kaldığını ve diğer bilgisayar korsanlarının bu durumdan yararlanmasına olanak sağladığını belirtti.
Kolmakov, “Inferno Drainer faaliyetini durdurmuş olabilir, ancak 2023 boyunca öne çıkması, drenajlar daha da gelişmeye devam ederken kripto para sahipleri için ciddi risklerin olduğunu gösteriyor” dedi.
İLGİLİ MAKALELER
- Twitter (X) Altın Hesabı Satan Dolandırıcılar Dezenformasyon ve Kimlik Avını Artırıyor
- Çok dilli kötü amaçlı yazılım, kimlik avı ve kripto madenciliği amacıyla Android cihazlara saldırıyor
- Bilgisayar korsanı, kimlik avı yoluyla DeFi kredi sağlayıcısı bZx’ten 55 milyon dolar değerinde kripto çaldı
- Bilgisayar Korsanları, Saldırıya Uğramış Ucuz İsim Avı E-postalarıyla Kripto Cüzdanlarını Hedefliyor
- Kripto para kayıpları 2023’te 1,75 Milyar Dolara ulaşacak; CeFi ve Hack’ler Suçlandı