Inferno Drainer -haittaohjelman toiminta
Kryptovarastoja varastava haittaohjelma, Inferno Drainer, on edelleen toiminnassa, vaikka sen kehittäjät julkisesti ilmoittivat lopettavansa toimintansa. Tämän haittaohjelman avulla on varastettu yli 9 miljoonaa dollaria kryptolompakoista viimeisten kuuden kuukauden aikana. Kyberturvallisuusfirma Check Point Researchin mukaan yli 30 000 kryptolompakkoa on tyhjennetty tämän elpyneen haittaohjelmakampanjan seurauksena.
Kehittäjät väittivät lopettaneensa toimintansa marraskuussa 2023. CPR:n puhemiehen mukaan tämä luku perustuu dataan haittaohjelman JavaScript-koodin purkamisesta, sen komentosarjojen palvelimilta saamien konfiguraatioiden purkamisesta sekä on-chain-toiminnan analysoimisesta.
Suurin osa havaitusta toiminnasta on tapahtunut Ethereum– ja Binance Chain -verkoissa. CPR:n analyytikot huomauttavat, että vuonna 2023 käyttöönotetut Inferno Drainer -älysopimukset ovat edelleen aktiivisia, ja haittaohjelman nykyversioon on tehty parannuksia aiempaan verrattuna. Haittaohjelma pystyy nykyisin myös hyödyntämään kertakäyttöisiä älysopimuksia ja on-chain salattuja konfiguraatioita, mikä tekee sen havaitsemisesta ja hyökkäysten estämisestä entistä vaikeampaa. Lisäksi komentopalvelimen viestintä on peitetty proxy-pohjaisten järjestelmien avulla, mikä tarkoittaa, että jäljittäminen on yhä vaikeaa.
Kalastuskampanjat ja sosiaalinen manipulointi
Inferno Drainerin elpyminen tapahtuu samaan aikaan kalastuskampanjan kanssa, joka kohdistuu erityisesti Discord-käyttäjiin. CPR:n analyytikoiden mukaan tämä kampanja hyödyntää sosiaalisen manipuloinnin tekniikoita, ohjaten käyttäjiä lailliselta Web3-projektilta väärennetylle sivustolle, joka matkii suositun Discord-botin, Collab.Landin, varmennuskäyttöliittymää.
Väärennetty Collab.Land -sivusto isännöi kryptovarastoijaa, joka petti uhrit allekirjoittamaan haitallisia tapahtumia, mahdollistaen hyökkääjien pääsyn heidän varoihinsa.
Yhdistämällä kohdennettua petosta ja tehokkaita sosiaalisen manipuloinnin taktiikoita, haittaohjelmakampanja on tuottanut vakaan taloudellisen virran, joka on tunnistettu blockchain-transaktioanalyysin kautta. Kryptokäyttäjiä kehotetaan harjoittamaan erityistä varovaisuutta aina, kun he ovat vuorovaikutuksessa tuntemattomien alustojen kanssa.
CPR:n tunnistama väärennetty Collab.Land -botti sisälsi vain huomaamattomia visuaalisia eroja lailliseen bottiin verrattuna.
Petoksen takana olevat kyberrikolliset todennäköisesti jatkavat jäljittelyn parantamista, tutkijat arvioivat. Koska laillinen Collab.Land -palvelu vaatii käyttäjiä vahvistamaan lompakkonsa liittymällä ja allekirjoittamalla, he huomauttavat, ”jopa kokeneet kryptokäyttäjät saattavat laskea vartiotansa” kohdatessaan väärennetyn botin, mikä tekee entistä tärkeämmäksi varmistaa aitous ennen lompakoiden yhdistämistä mihin tahansa palveluun.
Kryptohaittaohjelmien kehitys
Inferno Drainerin elpyminen on vain yksi esimerkki useista haittaohjelmakampanjoista, jotka ovat nousseet esiin viime kuukausina. Hakkerit käyttävät yhä koneellisesti kehittyneempiä tekniikoita kryptovarastohaittaohjelmien toimittamiseksi, kohdistuen hakkeroituihin postituslistoihin, avoimen lähdekoodin Python-kirjastoihin sekä jopa esiladattuihin troijalaisiin väärennetyissä Android-puhelimissa.
