La industrialización de los ataques de phishing en el mundo de la encriptación: Revelando el ecosistema Scam-as-a-Service
Desde junio de 2024, el equipo de seguridad ha monitoreado una gran cantidad de transacciones de phishing similares, con un monto involucrado que supera los 55 millones de dólares solo en junio. Con la llegada de agosto y septiembre, las actividades de phishing relacionadas se volvieron más frecuentes, mostrando una tendencia cada vez más intensa. Durante todo el tercer trimestre de 2024, los ataques de phishing se convirtieron en la forma de ataque que causó la mayor pérdida económica, con 65 acciones de ataque que obtuvieron más de 243 millones de dólares. El análisis muestra que los recientes ataques de phishing son muy probablemente relacionados con el infame equipo de herramientas de phishing Inferno Drainer. Este equipo había anunciado su "jubilación" a finales de 2023, pero ahora parece estar nuevamente activo, llevando a cabo una serie de ataques a gran escala.
Este artículo analizará los métodos típicos de operación de grupos de phishing como Inferno Drainer y Nova Drainer, y enumerará detalladamente sus características de comportamiento, con el objetivo de ayudar a los usuarios a mejorar su capacidad para identificar y prevenir fraudes de phishing.
Concepto de Scam-as-a-Service
En el mundo de la encriptación, algunos equipos de phishing han creado un nuevo modelo malicioso llamado Scam-as-a-Service (fraude como servicio). Este modelo empaqueta herramientas y servicios de fraude y los ofrece de manera comercial a otros delincuentes, Inferno Drainer es un representante en este campo. Durante el periodo en que anunciaron por primera vez el cierre del servicio desde noviembre de 2022 hasta noviembre de 2023, el monto defraudado superó los 80 millones de dólares.
Inferno Drainer ayuda a los compradores a iniciar ataques rápidamente al proporcionar herramientas y infraestructura de phishing listas para usar, incluidos sitios web de phishing de front-end y back-end, contratos inteligentes y cuentas de redes sociales. Los phishers que compran el servicio retienen la mayor parte de las ganancias, mientras que Inferno Drainer cobra una comisión del 10% al 20%. Este modelo ha reducido significativamente la barrera técnica para el fraude, lo que ha hecho que el crimen cibernético sea más eficiente y escalable, lo que ha llevado a que los ataques de phishing se propaguen en la industria de la encriptación, especialmente aquellos usuarios que carecen de conciencia de seguridad son más susceptibles a ser objetivos de ataque.
Cómo funciona el Scam-as-a-Service
Las aplicaciones descentralizadas (DApp) típicas suelen consistir en una interfaz de front-end y contratos inteligentes en la blockchain. Los usuarios se conectan a la interfaz de front-end de la DApp a través de una billetera de blockchain, la página de front-end genera la transacción correspondiente en la blockchain y la envía a la billetera del usuario. Luego, el usuario utiliza la billetera de blockchain para firmar y aprobar la transacción; una vez completada la firma, la transacción se envía a la red de blockchain y se invoca el contrato inteligente correspondiente para ejecutar la función requerida.
Los atacantes de phishing inducen a los usuarios a realizar operaciones inseguras mediante el diseño de interfaces frontales y contratos inteligentes maliciosos. Los atacantes suelen guiar a los usuarios a hacer clic en enlaces o botones maliciosos, engañándolos para que aprueben transacciones ocultas maliciosas, e incluso engañando directamente a los usuarios para que revelen sus claves privadas. Una vez que los usuarios firman estas transacciones maliciosas o exponen sus claves privadas, los atacantes pueden transferir fácilmente los activos del usuario a su propia cuenta.
Los métodos comunes incluyen:
Frontend de proyectos conocidos falsificados: los atacantes imitan cuidadosamente el sitio web oficial de proyectos conocidos, creando una interfaz frontal que parece legítima, lo que hace que los usuarios crean que están interactuando con un proyecto confiable, por lo que bajan la guardia, conectan su billetera y realizan operaciones inseguras.
Estafa de airdrop de tokens: se publicitan en las redes sociales sitios de phishing, afirmando que hay oportunidades atractivas como "airdrops gratuitos", "preventas anticipadas", "acuñación gratuita de NFT", etc., para atraer a las víctimas a hacer clic en los enlaces. Una vez que las víctimas son atraídas al sitio de phishing, a menudo conectan su billetera sin darse cuenta y aprueban transacciones maliciosas.
Eventos falsos de hacking y estafas de recompensas: los criminales afirman que un proyecto conocido ha sido atacado por hackers o que sus activos han sido congelados, y están ofreciendo compensaciones o recompensas a los usuarios. Atraen a los usuarios a sitios web de phishing a través de estas falsas emergencias, engañando para que conecten sus billeteras y, finalmente, robando los fondos de los usuarios.
Los proveedores de herramientas SaaS como Inferno Drainer han eliminado por completo la barrera técnica del phishing, ofreciendo a los compradores que carecen de la tecnología correspondiente servicios para crear y alojar sitios web de phishing, y extrayendo beneficios de las ganancias obtenidas a través del fraude.
Método de reparto de botín entre Inferno Drainer y compradores de SaaS
El 21 de mayo de 2024, Inferno Drainer publicó un mensaje de verificación de firma en etherscan, anunciando su regreso y creando un nuevo canal en Discord.
A través del análisis de una transacción típica, podemos entender cómo funciona Inferno Drainer:
Inferno Drainer crea un contrato a través de CREATE2. CREATE2 es una instrucción en la máquina virtual de Ethereum utilizada para crear contratos inteligentes, permitiendo calcular de antemano la dirección del contrato en función del código de bytes del contrato inteligente y un salt fijo. Inferno Drainer utiliza esta característica para calcular de antemano la dirección del contrato de reparto para los compradores de servicios de phishing, y una vez que la víctima cae en la trampa, crea el contrato de reparto para completar la transferencia de tokens y la operación de reparto.
Llamar al contrato creado, aprobando los tokens de la víctima a la dirección de phishing (el comprador del servicio Inferno Drainer) y a la dirección de repartición. El atacante, a través de métodos de phishing, guía a la víctima para que firme involuntariamente un mensaje malicioso de Permit2. Permit2 permite a los usuarios autorizar la transferencia de tokens a través de una firma, sin necesidad de interactuar directamente con la billetera.
Transferir diferentes cantidades de tokens a dos direcciones de reparto y al comprador, completando así la repartición. En una transacción típica, el comprador recibe el 82.5% del botín, mientras que Inferno Drainer retiene el 17.5%.
Es importante señalar que Inferno Drainer puede eludir en cierta medida algunas funciones de anti-phishing de billeteras al crear el contrato antes de la distribución de los beneficios, ya que cuando la víctima aprueba la transacción maliciosa, el contrato aún no ha sido creado.
Pasos sencillos para crear un sitio web de phishing
Con la ayuda de SaaS, es extremadamente fácil para los atacantes crear sitios web de phishing:
Ingresa al canal de comunicación proporcionado por Drainer, usa comandos simples para crear un dominio gratuito y la dirección IP correspondiente.
Selecciona uno de los cientos de plantillas proporcionadas, ingresa al proceso de instalación y en unos minutos podrás generar un sitio web de phishing que parece real.
Buscar víctimas. Una vez que alguien ingresa al sitio web, confía en la información fraudulenta en la página y conecta su billetera para aprobar transacciones maliciosas, sus activos serán transferidos.
Todo el proceso solo requiere unos minutos, lo que reduce drásticamente el costo del crimen.
Resumen y recomendaciones de prevención
El regreso de Inferno Drainer representa un gran riesgo de seguridad para los usuarios de la industria. Al participar en el comercio de encriptación, los usuarios deben mantenerse alerta y recordar los siguientes puntos:
Cuidado con los "regalos del cielo": no confíes en ningún airdrop o compensación gratuita sospechosa, solo confía en los sitios web oficiales o en proyectos auditados profesionalmente.
Verifique la conexión de red: antes de conectar su billetera, revise cuidadosamente la URL y manténgase alerta ante sitios web que imiten proyectos conocidos. Puede utilizar herramientas de búsqueda de dominios WHOIS para verificar la fecha de registro; los sitios web con una fecha de registro muy corta pueden ser proyectos fraudulentos.
Proteger la información de privacidad: nunca envíes tu frase de recuperación o clave privada a sitios web o aplicaciones sospechosas. Antes de que la billetera solicite firmar o aprobar una transacción, verifica cuidadosamente si involucra una transacción Permit o Approve que podría resultar en la pérdida de fondos.
Mantente atento a las actualizaciones de información sobre fraudes: sigue las cuentas oficiales de redes sociales que publican advertencias de forma regular. Si descubres que has otorgado accidentalmente autorización a una dirección de fraude para tus tokens, retira la autorización de inmediato o transfiere los activos restantes a otra dirección segura.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Encriptación del mundo de la pesca industrializada: Revelando los modelos de operación de Scam-as-a-Service y Inferno Drainer
La industrialización de los ataques de phishing en el mundo de la encriptación: Revelando el ecosistema Scam-as-a-Service
Desde junio de 2024, el equipo de seguridad ha monitoreado una gran cantidad de transacciones de phishing similares, con un monto involucrado que supera los 55 millones de dólares solo en junio. Con la llegada de agosto y septiembre, las actividades de phishing relacionadas se volvieron más frecuentes, mostrando una tendencia cada vez más intensa. Durante todo el tercer trimestre de 2024, los ataques de phishing se convirtieron en la forma de ataque que causó la mayor pérdida económica, con 65 acciones de ataque que obtuvieron más de 243 millones de dólares. El análisis muestra que los recientes ataques de phishing son muy probablemente relacionados con el infame equipo de herramientas de phishing Inferno Drainer. Este equipo había anunciado su "jubilación" a finales de 2023, pero ahora parece estar nuevamente activo, llevando a cabo una serie de ataques a gran escala.
Este artículo analizará los métodos típicos de operación de grupos de phishing como Inferno Drainer y Nova Drainer, y enumerará detalladamente sus características de comportamiento, con el objetivo de ayudar a los usuarios a mejorar su capacidad para identificar y prevenir fraudes de phishing.
Concepto de Scam-as-a-Service
En el mundo de la encriptación, algunos equipos de phishing han creado un nuevo modelo malicioso llamado Scam-as-a-Service (fraude como servicio). Este modelo empaqueta herramientas y servicios de fraude y los ofrece de manera comercial a otros delincuentes, Inferno Drainer es un representante en este campo. Durante el periodo en que anunciaron por primera vez el cierre del servicio desde noviembre de 2022 hasta noviembre de 2023, el monto defraudado superó los 80 millones de dólares.
Inferno Drainer ayuda a los compradores a iniciar ataques rápidamente al proporcionar herramientas y infraestructura de phishing listas para usar, incluidos sitios web de phishing de front-end y back-end, contratos inteligentes y cuentas de redes sociales. Los phishers que compran el servicio retienen la mayor parte de las ganancias, mientras que Inferno Drainer cobra una comisión del 10% al 20%. Este modelo ha reducido significativamente la barrera técnica para el fraude, lo que ha hecho que el crimen cibernético sea más eficiente y escalable, lo que ha llevado a que los ataques de phishing se propaguen en la industria de la encriptación, especialmente aquellos usuarios que carecen de conciencia de seguridad son más susceptibles a ser objetivos de ataque.
Cómo funciona el Scam-as-a-Service
Las aplicaciones descentralizadas (DApp) típicas suelen consistir en una interfaz de front-end y contratos inteligentes en la blockchain. Los usuarios se conectan a la interfaz de front-end de la DApp a través de una billetera de blockchain, la página de front-end genera la transacción correspondiente en la blockchain y la envía a la billetera del usuario. Luego, el usuario utiliza la billetera de blockchain para firmar y aprobar la transacción; una vez completada la firma, la transacción se envía a la red de blockchain y se invoca el contrato inteligente correspondiente para ejecutar la función requerida.
Los atacantes de phishing inducen a los usuarios a realizar operaciones inseguras mediante el diseño de interfaces frontales y contratos inteligentes maliciosos. Los atacantes suelen guiar a los usuarios a hacer clic en enlaces o botones maliciosos, engañándolos para que aprueben transacciones ocultas maliciosas, e incluso engañando directamente a los usuarios para que revelen sus claves privadas. Una vez que los usuarios firman estas transacciones maliciosas o exponen sus claves privadas, los atacantes pueden transferir fácilmente los activos del usuario a su propia cuenta.
Los métodos comunes incluyen:
Frontend de proyectos conocidos falsificados: los atacantes imitan cuidadosamente el sitio web oficial de proyectos conocidos, creando una interfaz frontal que parece legítima, lo que hace que los usuarios crean que están interactuando con un proyecto confiable, por lo que bajan la guardia, conectan su billetera y realizan operaciones inseguras.
Estafa de airdrop de tokens: se publicitan en las redes sociales sitios de phishing, afirmando que hay oportunidades atractivas como "airdrops gratuitos", "preventas anticipadas", "acuñación gratuita de NFT", etc., para atraer a las víctimas a hacer clic en los enlaces. Una vez que las víctimas son atraídas al sitio de phishing, a menudo conectan su billetera sin darse cuenta y aprueban transacciones maliciosas.
Eventos falsos de hacking y estafas de recompensas: los criminales afirman que un proyecto conocido ha sido atacado por hackers o que sus activos han sido congelados, y están ofreciendo compensaciones o recompensas a los usuarios. Atraen a los usuarios a sitios web de phishing a través de estas falsas emergencias, engañando para que conecten sus billeteras y, finalmente, robando los fondos de los usuarios.
Los proveedores de herramientas SaaS como Inferno Drainer han eliminado por completo la barrera técnica del phishing, ofreciendo a los compradores que carecen de la tecnología correspondiente servicios para crear y alojar sitios web de phishing, y extrayendo beneficios de las ganancias obtenidas a través del fraude.
Método de reparto de botín entre Inferno Drainer y compradores de SaaS
El 21 de mayo de 2024, Inferno Drainer publicó un mensaje de verificación de firma en etherscan, anunciando su regreso y creando un nuevo canal en Discord.
A través del análisis de una transacción típica, podemos entender cómo funciona Inferno Drainer:
Inferno Drainer crea un contrato a través de CREATE2. CREATE2 es una instrucción en la máquina virtual de Ethereum utilizada para crear contratos inteligentes, permitiendo calcular de antemano la dirección del contrato en función del código de bytes del contrato inteligente y un salt fijo. Inferno Drainer utiliza esta característica para calcular de antemano la dirección del contrato de reparto para los compradores de servicios de phishing, y una vez que la víctima cae en la trampa, crea el contrato de reparto para completar la transferencia de tokens y la operación de reparto.
Llamar al contrato creado, aprobando los tokens de la víctima a la dirección de phishing (el comprador del servicio Inferno Drainer) y a la dirección de repartición. El atacante, a través de métodos de phishing, guía a la víctima para que firme involuntariamente un mensaje malicioso de Permit2. Permit2 permite a los usuarios autorizar la transferencia de tokens a través de una firma, sin necesidad de interactuar directamente con la billetera.
Transferir diferentes cantidades de tokens a dos direcciones de reparto y al comprador, completando así la repartición. En una transacción típica, el comprador recibe el 82.5% del botín, mientras que Inferno Drainer retiene el 17.5%.
Es importante señalar que Inferno Drainer puede eludir en cierta medida algunas funciones de anti-phishing de billeteras al crear el contrato antes de la distribución de los beneficios, ya que cuando la víctima aprueba la transacción maliciosa, el contrato aún no ha sido creado.
Pasos sencillos para crear un sitio web de phishing
Con la ayuda de SaaS, es extremadamente fácil para los atacantes crear sitios web de phishing:
Ingresa al canal de comunicación proporcionado por Drainer, usa comandos simples para crear un dominio gratuito y la dirección IP correspondiente.
Selecciona uno de los cientos de plantillas proporcionadas, ingresa al proceso de instalación y en unos minutos podrás generar un sitio web de phishing que parece real.
Buscar víctimas. Una vez que alguien ingresa al sitio web, confía en la información fraudulenta en la página y conecta su billetera para aprobar transacciones maliciosas, sus activos serán transferidos.
Todo el proceso solo requiere unos minutos, lo que reduce drásticamente el costo del crimen.
Resumen y recomendaciones de prevención
El regreso de Inferno Drainer representa un gran riesgo de seguridad para los usuarios de la industria. Al participar en el comercio de encriptación, los usuarios deben mantenerse alerta y recordar los siguientes puntos:
Cuidado con los "regalos del cielo": no confíes en ningún airdrop o compensación gratuita sospechosa, solo confía en los sitios web oficiales o en proyectos auditados profesionalmente.
Verifique la conexión de red: antes de conectar su billetera, revise cuidadosamente la URL y manténgase alerta ante sitios web que imiten proyectos conocidos. Puede utilizar herramientas de búsqueda de dominios WHOIS para verificar la fecha de registro; los sitios web con una fecha de registro muy corta pueden ser proyectos fraudulentos.
Proteger la información de privacidad: nunca envíes tu frase de recuperación o clave privada a sitios web o aplicaciones sospechosas. Antes de que la billetera solicite firmar o aprobar una transacción, verifica cuidadosamente si involucra una transacción Permit o Approve que podría resultar en la pérdida de fondos.
Mantente atento a las actualizaciones de información sobre fraudes: sigue las cuentas oficiales de redes sociales que publican advertencias de forma regular. Si descubres que has otorgado accidentalmente autorización a una dirección de fraude para tus tokens, retira la autorización de inmediato o transfiere los activos restantes a otra dirección segura.