Начиная с июня 2024 года команда безопасности CertiK отслеживала большое количество подобных фишинговых/сливных транзакций. Только в июне сумма превысила 55 миллионов долларов США. нападения Ситуация становится все более жестокой. В третьем квартале 2024 года фишинговые атаки стали методом атак, принесшим наибольшие финансовые потери: злоумышленники-фишингисты получили более 243 миллионов долларов США за 65 атак. Согласно анализу команды безопасности CertiK, недавние частые фишинговые атаки, скорее всего, связаны с Inferno Drainer, печально известной командой фишинговых инструментов. Команда громко объявила о своем «уходе» в конце 2023 года, но теперь, похоже, снова активна и вернулась, устроив серию масштабных атак.

Основываясь на этом, в данной статье будут проанализированы типичные методы работы групп фишинговых атак, таких как Inferno Drainer и Nova Drainer, и подробно перечислены их поведенческие характеристики. Мы надеемся, что с помощью этого анализа мы сможем помочь пользователям улучшить их способность выявлять и предотвращать фишинговые атаки.

Что такое мошенничество как услуга

Многие люди, возможно, знакомы с концепцией «Программное обеспечение как услуга» (SaaS). В мире шифрования SaaS имеет еще одно значение. Команда по фишингу изобрела новую вредоносную модель под названием «Scam как услуга». Эта модель объединяет инструменты и услуги мошенничества и предоставляет их другим преступникам в коммерциализированном виде. Пресловутый Inferno Drainer является типичным представителем этой области. Впервые они объявили о нем с ноября 2022 года по ноябрь 2023 года. В период закрытия масштабы мошенничества. превысил 80 миллионов долларов. Inferno Drainer помогает покупателям быстро проводить атаки, предоставляя готовые фишинговые инструменты и инфраструктуру, включая интерфейсы фишинговых веб-сайтов, смарт-контракты и учетные записи в социальных сетях. Фишеры, приобретающие SaaS-услуги, сохраняют большую часть украденных денег, а Inferno Drainer взимает 10 %. -20% комиссия. Эта модель значительно снижает технический порог мошенничества. Это сделало киберпреступность более эффективной и масштабной, что привело к распространению фишинговых атак в индустрии шифрования, особенно на тех пользователей, которые недостаточно осведомлены о безопасности и с большей вероятностью станут мишенью.

Как работает «Мошенничество как услуга»?

Прежде чем представить SaaS, мы должны сначала понять рабочий процесс типичного децентрализованного приложения (DApp). Как показано на рисунке ниже, типичное DApp обычно состоит из внешнего интерфейса (например, веб-страницы или мобильного приложения) и смарт-контракта на блокчейне. Пользователь подключается к внешнему интерфейсу DApp через кошелек блокчейна, а интерфейсная страница генерирует соответствующую транзакцию блокчейна и отправляет ее в кошелек пользователя. Затем пользователь использует кошелек блокчейна для подписания и подтверждения транзакции. После завершения подписи транзакция отправляется в сеть блокчейна, и соответствующий смарт-контракт вызывается для выполнения необходимых функций.

Итак, как же злоумышленники-фишингисты выманивают у пользователей средства? Ответ заключается в том, что они ловко побуждают пользователей выполнять небезопасные операции, разрабатывая вредоносные интерфейсы и смарт-контракты. Злоумышленники часто заставляют пользователей нажимать на вредоносные ссылки или кнопки, тем самым вынуждая их одобрить некоторые скрытые вредоносные транзакции или даже, в некоторых случаях, напрямую вынуждая пользователей раскрыть свои личные ключи. Как только пользователь подписывает эти вредоносные транзакции или раскрывает свои секретные ключи, злоумышленники могут легко перенести активы пользователя в свою учетную запись.

Вот некоторые из наиболее распространенных средств:

1. Подделка интерфейсов известных проектов. Злоумышленники создают внешне выглядящие законно интерфейсы, тщательно имитируя официальные веб-сайты известных проектов, заставляя пользователей ошибочно полагать, что они взаимодействуют с заслуживающими доверия проектами, тем самым позволяя пользователям расслабиться. бдительность, подключаться к кошелькам и выполнять небезопасные операции. Как показано на рисунке 1, фишинговая группа встроила свою собственную страницу в интерфейсную страницу BagerDAO. Как только пользователь одобрит транзакцию на странице, его токены будут авторизованы на адрес злоумышленника.

2. Мошенничество с раздачей токенов: они продвигают фишинговые сайты в Twitter, Discord, Telegram и других социальных сетях, утверждая, что имеют привлекательные возможности, такие как «бесплатные раздачи», «ранние предварительные продажи» и «бесплатная чеканка NFT». жертва кликнет по ссылке. Попав на фишинговый веб-сайт, жертвы часто неосознанно подключаются к своим кошелькам и одобряют вредоносные транзакции. Как показано на рисунке 2, злоумышленник передал пользователю токен с именем «ZEPE», обманом заставив его перейти на свою фишинговую страницу, чтобы активировать его. Как только пользователь нажмет на него, все ETH в его учетной записи будут отправлены на его адрес. адрес мошенника.

3. Фейковые инциденты взлома и мошенничество с вознаграждением. Киберпреступники утверждают, что известный проект теперь выплачивает пользователям компенсации или вознаграждения из-за хакерских атак или замораживания активов. Они используют эти ложные чрезвычайные ситуации, чтобы заманить пользователей на фишинговые веб-сайты, обманом заставить их подключиться к своим кошелькам и, в конечном итоге, украсть средства пользователей.

Можно сказать, что фишинговые мошенничества не являются новым методом и были очень распространены до 2020 года. Однако модель SaaS во многом является основной движущей силой активизации фишинговых мошенничеств за последние два года. До появления SaaS злоумышленникам-фишингистам приходилось готовить стартовые средства в сети, создавать интерфейсные веб-сайты и смарт-контракты каждый раз, когда они запускали атаку. Хотя большинство этих фишинговых веб-сайтов были сделаны грубо, их можно было воссоздать с помощью набора. шаблонов и внесение простых изменений. Это новый мошеннический проект, но работа и обслуживание веб-сайта и дизайна страниц по-прежнему требуют определенного технического порога. Поставщики SaaS-инструментов, такие как Inferno Drainer, полностью устранили технические барьеры на пути фишингового мошенничества, предоставляя покупателям, у которых нет соответствующих технологий, услуги по созданию и размещению фишинговых веб-сайтов, а также извлечению прибыли из доходов от мошенничества.

Как Inferno Drainer делит прибыль с покупателями SaaS?

21 мая 2024 года Inferno Drainer опубликовал на etherscan сообщение о проверке подписи, объявив о своем возвращении и создании нового канала Discord.

Как Inferno Drainer делит прибыль с покупателями SaaS?

21 мая 2024 года Inferno Drainer опубликовал на etherscan сообщение о проверке подписи, объявив о своем возвращении и создании нового канала Discord.

0x0000db5c8b030ae20308ac975898e09741e70000 — это один из фишинговых адресов с аномальным поведением, который недавно отслеживала CertiK. Мы обнаружили, что по этому адресу проводилось большое количество транзакций по схожей схеме. Проанализировав и расследовав эти транзакции, мы считаем, что эти транзакции представляют собой транзакции, в которых Inferno Drainer переводит средства и распространяет украденные товары после обнаружения того, что жертва попала на крючок. используйте этот адрес для примера одной из совершенных транзакций:

https://etherscan.io/tx/0x5cd1eeee1b091888e7b19bc25c99a44a08e80112fdc7a60a88b11ed592483a5f

Злоумышленник передает токены жертвы через Permit2.

1. Inferno Drainer создает контракт через CREATE2. CREATE2 — это инструкция в виртуальной машине Ethereum, используемая для создания смарт-контрактов. По сравнению с традиционной инструкцией CREATE, инструкция CREATE2 позволяет заранее рассчитать адрес контракта на основе байт-кода смарт-контракта и фиксированной соли, принимаемой Inferno Drainer. Преимущество CREATE2 Суть инструкции заключается в том, чтобы заранее рассчитать адрес контракта о разделе добычи для покупателя фишинговой услуги, дождаться, пока жертва клюнет на наживку, а затем создать контракт о разделе добычи для завершения операции по передаче токенов и разделению добычи.

2. Вызвать созданный контракт для подтверждения DAI жертвы на фишинговый адрес (покупатель сервиса Inferno Drainer) и адрес украденного товара. Злоумышленники используют различные методы фишинга, упомянутые выше, чтобы побудить жертв непреднамеренно подписать вредоносные сообщения Permit2. Permit2 позволяет пользователям разрешать передачу токенов посредством подписей без необходимости напрямую взаимодействовать с кошельком. В результате жертвы ошибочно полагают, что они лишь участвуют в обычных транзакциях или разрешают определенные безобидные операции, но на самом деле они неосознанно авторизуют свои токены DAI на адреса, контролируемые злоумышленником.

3. Переведите 3 654 и 7 005 ДАИ на два адреса для раздела добычи и передайте 50 255 ДАИ покупателю для завершения раздела добычи.

Стоит отметить, что в настоящее время существует множество блокчейн-кошельков, в которых реализованы антифишинговые или подобные функции. Однако антифишинговые функции многих кошельков реализуются через черные списки доменных имен или адресов блокчейна, прежде чем разделить добычу. Контрактный метод позволяет в определенной степени обойти эти антифишинговые функции и еще больше снизить бдительность жертв. Поскольку контракт даже не был создан, когда жертва одобрила вредоносную транзакцию, анализ и исследование адреса были невозможны. По сделке покупатель рыболовной услуги получил 82,5% украденных денег, а Inferno Drainer — 17,5%.

Выяснилось: сколько шагов нужно для создания фишингового веб-сайта?

Увидев, как Inferno Drainer делит добычу, давайте посмотрим, насколько легко злоумышленникам создать фишинговый сайт с помощью SaaS.

На первом этапе, после входа в канал TG, предоставленный Drainer, с помощью простой команды создается бесплатное доменное имя и соответствующий IP-адрес.

На втором этапе выберите любой из сотен шаблонов, предоставленных роботом, а затем войдите в процесс установки. Через несколько минут будет создан фишинговый сайт с достойным интерфейсом.

Третий шаг – найти жертву. Как только жертва зайдет на веб-сайт, поверит мошеннической информации на странице и подключится к кошельку для подтверждения вредоносной транзакции, активы жертвы будут переведены. С помощью SaaS злоумышленник может создать такой фишинговый сайт всего за три шага и всего за несколько минут.

Резюме и вдохновение

Возвращение Inferno Drainer, одного из самых угрожающих «Drainer» в мире криптовалют, несомненно, несет огромные риски безопасности для пользователей отрасли. Inferno Drainer опирается на свои мощные функции, методы скрытых атак и чрезвычайно низкую стоимость преступной деятельности. предпочтительные инструменты киберпреступников для проведения фишинговых атак и финансирования воровства.

Пользователям необходимо всегда проявлять бдительность при участии в криптовалютных транзакциях и помнить о следующих моментах: