Revelando la industrialización de los ataques de phishing en el mundo de la encriptación

Desde junio de 2024, el equipo de seguridad ha monitoreado un gran número de transacciones de phishing y robo de fondos similares, con un monto total involucrado de más de 55 millones de dólares solo en junio. A medida que entramos en agosto y septiembre, las actividades de phishing relacionadas se han vuelto más frecuentes, mostrando una tendencia en aumento. En el tercer trimestre de 2024, los ataques de phishing se han convertido en el método de ataque que causa la mayor pérdida económica, con los atacantes obteniendo más de 243 millones de dólares en 65 acciones. Los análisis muestran que los recientes ataques de phishing, que ocurren con frecuencia, están muy probablemente relacionados con el infame equipo de herramientas de phishing Inferno Drainer. Este equipo había anunciado su "jubilación" a finales de 2023, pero parece que ha vuelto a estar activo, llevando a cabo una serie de ataques a gran escala.

Este artículo analizará los métodos típicos de operación de grupos de phishing como Inferno Drainer y Nova Drainer, y enumerará en detalle sus características de comportamiento, con el objetivo de ayudar a los usuarios a mejorar su capacidad para identificar y prevenir fraudes de phishing.

Concepto de Scam-as-a-Service

En el mundo de la encriptación, algunos equipos de phishing han inventado un nuevo modelo de malware llamado Scam-as-a-Service (fraude como servicio). Este modelo empaqueta herramientas y servicios de fraude y los ofrece de manera comercial a otros criminales. Inferno Drainer es un representante típico en este campo, habiendo defraudado más de 80 millones de dólares durante el período en que se anunció por primera vez el cierre del servicio entre noviembre de 2022 y noviembre de 2023.

Inferno Drainer ayuda a los compradores a lanzar ataques rápidamente al proporcionar herramientas y infraestructura de phishing listas para usar, incluyendo el front-end y back-end de sitios de phishing, contratos inteligentes y cuentas de redes sociales. Los phishers que compran el servicio retienen la mayor parte de las ganancias ilícitas, mientras que Inferno Drainer cobra una comisión del 10% al 20%. Este modelo reduce significativamente la barrera técnica para el fraude, haciendo que el crimen cibernético sea más eficiente y escalable, lo que ha llevado a una proliferación de ataques de phishing en la industria de la encriptación, especialmente entre usuarios que carecen de conciencia de seguridad, que son más propensos a convertirse en objetivos de ataque.

Mecanismo de funcionamiento de Scam-as-a-Service

Antes de entender SaaS, primero veamos el flujo de trabajo típico de una aplicación descentralizada (DApp). Una DApp típica generalmente consiste en una interfaz de front-end (como una página web o una aplicación móvil) y un contrato inteligente en la blockchain. Los usuarios se conectan a la interfaz de front-end de la DApp a través de una billetera de blockchain, la página de front-end genera la transacción de blockchain correspondiente y la envía a la billetera del usuario. Luego, el usuario utiliza la billetera de blockchain para firmar y aprobar la transacción, y una vez completada la firma, la transacción se envía a la red de blockchain y se llama al contrato inteligente correspondiente para ejecutar la función requerida.

Los atacantes de phishing inducen a los usuarios a realizar operaciones inseguras mediante el diseño de interfaces frontales y contratos inteligentes maliciosos. Los atacantes suelen guiar a los usuarios a hacer clic en enlaces o botones maliciosos, engañándolos para que aprueben algunas transacciones ocultas maliciosas e incluso, en algunos casos, engañan directamente a los usuarios para que revelen sus claves privadas. Una vez que el usuario firma estas transacciones maliciosas o expone su clave privada, el atacante puede transferir fácilmente los activos del usuario a su propia cuenta.

Los métodos de phishing comunes incluyen:

1. Frontend de proyectos conocidos falsificados: los atacantes imitan cuidadosamente el sitio web oficial de proyectos conocidos, creando una interfaz de frontend que parece legítima, haciendo que los usuarios crean que están interactuando con un proyecto de confianza.

2. Esquema de airdrop de tokens: Se publicitan en redes sociales sitios de phishing que afirman tener oportunidades atractivas como "airdrops gratuitos", "preventa anticipada", "acuñación gratuita de NFT", lo que induce a las víctimas a hacer clic en los enlaces y aprobar transacciones maliciosas.

3. Eventos de hacking falsos y estafas de recompensas: Afirmar que un proyecto conocido ha sido víctima de un ataque de hackers o que sus activos han sido congelados, y que están otorgando compensaciones o recompensas a los usuarios, atrayendo a los usuarios a sitios de phishing a través de una falsa emergencia.

El modelo SaaS es el principal impulsor del aumento de estafas de phishing en los últimos dos años. Antes de la aparición del SaaS, los atacantes de phishing necesitaban preparar fondos iniciales en la cadena, crear un sitio web frontal y un contrato inteligente para cada ataque. Aunque la mayoría de estos sitios de phishing eran de mala calidad, aún requerían un cierto nivel de habilidad técnica. Proveedores de herramientas SaaS como Inferno Drainer han eliminado completamente la barrera técnica para las estafas de phishing, ofreciendo servicios de creación y alojamiento de sitios web de phishing a compradores que carecen de la tecnología correspondiente y extrayendo beneficios de las ganancias fraudulentas.

El regreso de Inferno Drainer y el mecanismo de reparto de botín

El 21 de mayo de 2024, Inferno Drainer publicó un mensaje de verificación de firma en etherscan, anunciando su regreso y creando un nuevo canal de Discord. El equipo de seguridad ha estado monitoreando recientemente algunas direcciones de phishing con comportamiento anómalo. Tras analizar e investigar las transacciones, creemos que estas transacciones son las que Inferno Drainer realiza para transferir y distribuir fondos después de detectar que las víctimas han picado.

Tomando como ejemplo una de las transacciones, el proceso de ataque es el siguiente:

1. Inferno Drainer crea un contrato a través de CREATE2. CREATE2 es una instrucción en la máquina virtual de Ethereum que se utiliza para crear contratos inteligentes, permitiendo calcular de antemano la dirección del contrato según el código de bytes del contrato inteligente y un salt fijo.

2. Llamar al contrato creado, aprobando el DAI de la víctima a la dirección de phishing (el comprador del servicio Inferno Drainer) y a la dirección de reparto. El atacante, a través de diversos métodos de phishing, llevó a la víctima a firmar involuntariamente un mensaje malicioso de Permit2.

3. Transferir 3,654 y 7,005 DAI a dos direcciones de reparto, transferir 50,255 DAI al comprador, completando así la distribución.

En esta transacción, el comprador del servicio de pesca se llevó el 82.5% del dinero robado, mientras que Inferno Drainer retuvo el 17.5%.

Proceso rápido de creación de sitios web de phishing

Con la ayuda de SaaS, los atacantes pueden crear fácilmente sitios web de phishing de manera rápida. Los pasos específicos son los siguientes:

1. Accede al canal TG proporcionado por Drainer y utiliza un comando simple para crear un dominio gratuito y su dirección IP correspondiente.

2. Selecciona una de las cientos de plantillas proporcionadas por el robot, ingresa al proceso de instalación y, en unos minutos, podrás generar un sitio web de phishing con una interfaz realista.

3. Buscar víctimas. Una vez que una víctima ingresa al sitio web, cree la información fraudulenta en la página y conecta su billetera para aprobar transacciones maliciosas, sus activos serán transferidos.

Todo el proceso solo toma unos minutos, reduciendo enormemente el costo del crimen.

Sugerencias de seguridad

Para prevenir este tipo de ataques de phishing, los usuarios deben:

• No confíes fácilmente en la propaganda de "caen pasteles del cielo", como en airdrops o compensaciones sospechosas.
• Antes de conectar la billetera, verifica cuidadosamente la URL del sitio web y ten cuidado con los sitios que imitan proyectos conocidos.
• Utiliza la herramienta de consulta de dominios WHOIS para verificar la fecha de registro del sitio web; los sitios con un tiempo de registro demasiado corto pueden ser proyectos fraudulentos.
• No envíes frases de recuperación, claves privadas u otra información personal a sitios web o aplicaciones sospechosas.
• Antes de firmar un mensaje o aprobar una transacción, verifica cuidadosamente si implica operaciones de Permit o Approve que puedan resultar en la pérdida de fondos.
• Sigue las cuentas oficiales que publican información de alerta como CertiK Alert para estar al tanto de las últimas tendencias de fraude.
• Si se descubre que se ha autorizado accidentalmente tokens a una dirección de estafa, se debe retirar inmediatamente la autorización o transferir los activos restantes a una dirección segura.