Inferno-Malware ergaunerte als Fake-Coinbase 87 Millionen Dollar
Die Betreiber des inzwischen gelöschten Inferno Drainer haben innerhalb eines Jahres mehr als 16.000 bösartige Domains erstellt. Darüber haben sie von November 2022 bis November 2023 schätzungsweise über 87 Millionen Dollar an illegalen Gewinnen erzielt – und mehr als 137.000 Opfer betrogen.
Die Betrugsmasche bestand darin, hochwertige Phishing-Seiten zu verwenden, um Nutzer zu täuschen. Diese wurden dazu gebracht, ihre Kryptowährungs-Wallets mit den gefälschten Web3-Protokollen der Angreifer zu verbinden, was dazu führte, dass Opfer unwissentlich Transaktionen autorisierten. Das wurde von der in Singapur ansässigen Gruppe-IB berichtet.
Die Malware ist Teil einer Reihe ähnlicher Angebote, die Affiliates im Rahmen des Scam-as-a-Service-Modells (oder Drainer-as-a-Service) gegen eine 20-prozentige Beteiligung an ihren Einnahmen zur Verfügung stellen.
Zusätzlich konnten Nutzer von Inferno Drainer die Schadsoftware entweder auf ihren eigenen betrügerischen Websites hochladen oder den Service des Entwicklers nutzen, Phishing-Websites zu erstellen und zu hosten. Das war zum Teil kostenlos – in manchen Fällen wurde jedoch eine Gebühr von 30 Prozent der gestohlenen Vermögenswerte fällig.
Das DaaS-Tool (Drainer-as-a-Service) gewann nach der Abschaltung von Monkey Drainer im März 2023 erhöhte Popularität und ebnete den Weg für das Auftauchen eines weiteren kurzlebigen Drainer-Dienstes namens Venom Drainer. Die Daten von Scam Sniffer zeigen, dass Betrüger, die Krypto-Phishing mithilfe von Drainer-Kits betreiben, im Jahr 2023 insgesamt etwa 295,4 Millionen US-Dollar von rund 320.000 Nutzern gestohlen haben. Laut Group-IB wurden 2023 mehr als 100 Kryptowährungen gefälscht. Die speziell dafür gestalteten Seiten wurden auf über 16.000 einzigartigen Domains gehostet.
Bei einer weiteren Untersuchung von 500 dieser Domains stellte sich heraus, dass der JavaScript-basierte Drainer ursprünglich in einem GitHub-Repository (kuzdaz.github[.]io/seaport/seaport.js) gehostet wurde, bevor er direkt in die Websites eingefügt wurde. Der Benutzer „kuzdaz“ existiert derzeit nicht.
In ähnlicher Weise wurde auf 350 anderen Websites eine JavaScript-Datei namens „coinbase-wallet-sdk.js“ von einem anderen GitHub-Repository, „kasrlorcian.github[.]io“, eingebunden. Diese Seiten wurden dann über Plattformen wie Discord und X verbreitet. Sie täuschten potenzielle Opfer, indem sie vorgaben, kostenlose Token (auch als Airdrops bekannt) anzubieten und sie dazu brachten, ihre Wallets zu verbinden. Sobald die Opfer die Transaktionen genehmigten, wurde ihr Vermögen abgezogen.
Die Verwendung von Namen wie seaport.js, coinbase.js und wallet-connect.js sollte den Anschein erwecken, als handele es sich um beliebte Web3-Protokolle wie Seaport, WalletConnect und Coinbase, um nicht genehmigte Transaktionen durchzuführen. Die älteste Website, die eines dieser Skripte enthält, stammt vom 15. Mai 2023.
Ein weiteres auffälliges Merkmal der Phishing-Websites, die zu Inferno Drainer gehören, ist, dass Benutzer den Quellcode der Website nicht einfach durch Hotkeys oder einen Rechtsklick mit der Maus öffnen können, so die Analysten von Group-IB. Das bedeutet, dass die Kriminellen versucht haben, ihre Skripte und illegalen Aktivitäten vor ihren Opfern zu verbergen.
Erwähnenswert ist, dass das X-Konto von Mandiant, das Google gehört, Anfang dieses Monats kompromittiert wurde, um Links zu einer Phishing-Seite zu verbreiten. Auf dieser Seite war ein Kryptowährungs-Drainer namens CLINKSINK gehostet. Eine Variante davon, bekannt als Rainbow Drainer, hat im letzten Monat fast 4,17 Millionen Dollar von 3.947 Solana-Benutzern gestohlen.
„Wir glauben, dass das ‚X-as-a-Service‘-Modell weiterhin florieren wird, nicht zuletzt, weil es weniger technisch versierten Personen mehr Möglichkeiten bietet, sich als Cyberkriminelle zu versuchen, und für die Entwickler ist es eine äußerst profitable Möglichkeit, ihre Einnahmen zu steigern“, so Group-IB.
„Wir gehen auch davon aus, dass vermehrt Versuche unternommen werden, offizielle Konten zu hacken und für Werbe-Posts zu missbrauchen. Beiträge von vermeintlich offiziellen Stellen wecken sehr erhöhtes Vertrauen bei den Betrachtern und könnten potenzielle Opfer eher dazu bringen, Links zu folgen und ihre Konten zu verbinden.“ Darüber hinaus könnte der Erfolg von Inferno Drainer laut Group-IB die Entwicklung neuer Drainer vorantreiben und zu einem Anstieg von Websites mit bösartigen Skripten führen, die Web3-Protokolle vortäuschen. 2024 könnte das „Jahr des Drainers“ werden. Auch wenn Inferno Drainer jetzt nicht mehr aktiv ist, zeigt seine Bekanntheit im Jahr 2023 die ernsten Gefahren für Kryptowährungsinhaber auf, denn Drainer-Attacken werden im großen Stil weiterentwickelt, warnt ein Experte für High-Tech-Kriminalität bei der Group-IB.