Siber Muhbir

Singapur merkezli Group-IB, paylaşılan bir raporda, planın "şüphelenmeyen kullanıcıları, kurbanları işlemlere izin vermeleri için kandırmak için Web3 protokollerini taklit eden saldırganların kripto para cüzdanlarına bağlamaya ikna etmek için yüksek kaliteli kimlik avı sayfalarından yararlandığını" söyledi.

Kasım 2022'den Kasım 2023'e kadar aktif olan Inferno Drainer'ın 137.000'den fazla kurbanı dolandırarak 87 milyon doların üzerinde yasa dışı kar elde ettiği tahmin ediliyor.

Kötü amaçlı yazılım, kazançlarında %20'lik bir kesinti karşılığında hizmet olarak dolandırıcılık (veya hizmet olarak süzgeç) modeli kapsamında bağlı kuruluşlara sunulan daha geniş bir benzer teklif kümesinin parçasıdır.

Dahası, Inferno Drainer müşterileri, kötü amaçlı yazılımı kendi kimlik avı sitelerine yükleyebilir veya kimlik avı web siteleri oluşturmak ve barındırmak için geliştiricinin hizmetinden yararlanabilir, hiçbir ek ücret ödemeden veya bazı durumlarda çalınan varlıkların %30'unu ücretlendirebilir.

DaaS aracı, Mart 2023'te Monkey Drainer'ın kapatılmasının ardından popülerlik kazandı ve bu da Venom Drainer adlı başka bir kısa ömürlü drenaj hizmetinin ortaya çıkmasına neden oldu.

Scam Sniffer tarafından derlenen veriler, drenaj kitlerini çoğaltan kripto kimlik avı dolandırıcılıklarının 2023'te yaklaşık 320.000 kullanıcıdan kümülatif olarak 295,4 milyon dolarlık varlık çaldığını gösteriyor.

Group-IB'ye göre, etkinlik, 16.000'den fazla benzersiz alanda barındırılan özel hazırlanmış sayfalar aracılığıyla 100'den fazla kripto para birimi markasını taklit etti.

Bu etki alanlarının 500'ünün daha fazla analizi, JavaScript tabanlı süzgecin başlangıçta bir GitHub deposunda (kuzdaz.github[.] io/seaport/seaport.js) bunları doğrudan web sitelerine dahil etmeden önce. "Kuzdaz" kullanıcısı şu anda mevcut değil.

Benzer bir şekilde, 350 siteden oluşan başka bir grup, farklı bir GitHub deposunda "coinbase-wallet-sdk.js kasrlorcian.github[.] ıo."

Bu siteler daha sonra Discord ve X (eski adıyla Twitter) gibi sitelerde yayıldı ve potansiyel kurbanları ücretsiz jetonlar (diğer adıyla airdrop'lar) sunma ve cüzdanlarını bağlama kisvesi altında tıklamaya ikna etti ve bu noktada işlemler onaylandıktan sonra varlıkları boşaltıldı.

seaport.js, coinbase.js ve wallet-connect.js isimlerini kullanırken fikir, yetkisiz işlemleri tamamlamak için Seaport, WalletConnect ve Coinbase gibi popüler Web3 protokolleri gibi görünmekti. Bu komut dosyalarından birini içeren en eski web sitesi 15 Mayıs 2023'e kadar uzanıyor.

Group-IB analisti Viacheslav Shevchenko, "Inferno Drainer'a ait kimlik avı web sitelerinin bir başka tipik özelliği, kullanıcıların kısayol tuşlarını kullanarak veya fareye sağ tıklayarak web sitesi kaynak kodunu açamamasıydı" dedi. "Bu, suçluların senaryolarını ve yasadışı faaliyetlerini kurbanlarından gizlemeye çalıştıkları anlamına geliyor."

Google'ın sahip olduğu Mandiant'ın X hesabının, bu ayın başlarında, Rainbow Drainer olarak bilinen bir varyantı olan CLINKSINK olarak izlenen bir kripto para birimi süzgecine ev sahipliği yapan bir kimlik avı sayfasına bağlantılar dağıtmak için ele geçirildiğini belirtmekte fayda var.

Şirket, yaptığı açıklamada, "'Hizmet olarak X' modelinin gelişmeye devam edeceğine inanıyoruz, çünkü teknik olarak daha az yetkin bireylerin siber suçlu olma yolunda ellerini denemeleri için daha büyük fırsatlar yaratıyor ve geliştiriciler için gelirlerini artırmanın oldukça karlı bir yolu" dedi.

"Ayrıca, yetkili bir ses tarafından yazıldığı iddia edilen gönderilerin izleyicilerin gözünde güven uyandırması muhtemel olduğundan ve potansiyel kurbanların bağlantıları takip etme ve hesaplarını bağlama olasılığını artırabileceğinden, resmi hesapları hackleme girişimlerinin artmasını bekliyoruz."

Bunun da ötesinde Group-IB, Inferno Drainer'ın başarısının yeni drenajların geliştirilmesini hızlandırabileceğini ve Web3 protokollerini taklit eden kötü amaçlı komut dosyaları içeren web sitelerinde bir artışa yol açabileceğini söyledi ve 2024'ün "drenaj yılı" olabileceğini belirtti.

Group-IB'nin Yüksek Teknoloji Suçları Soruşturma Departmanı başkanı Andrey Kolmakov, "Inferno Drainer faaliyetini durdurmuş olabilir, ancak 2023 boyunca öne çıkması, süzgeçler daha da gelişmeye devam ettikçe kripto para sahipleri için ciddi riskleri vurguluyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.