Revelando a industrialização dos ataques de phishing no mundo da encriptação

Desde junho de 2024, a equipe de segurança monitorou uma grande quantidade de transações semelhantes de phishing e roubo de fundos, com um valor total envolvido que ultrapassa 55 milhões de dólares apenas em junho. Com a chegada de agosto e setembro, as atividades de phishing relacionadas tornaram-se ainda mais frequentes, apresentando um aumento alarmante. No terceiro trimestre de 2024, os ataques de phishing tornaram-se o método de ataque que causou as maiores perdas econômicas, com os atacantes obtendo mais de 243 milhões de dólares em 65 ações. As análises mostram que os ataques de phishing frequentes recentemente estão provavelmente relacionados à infame equipe de ferramentas de phishing Inferno Drainer. Essa equipe havia anunciado sua "aposentadoria" no final de 2023, mas agora parece estar novamente ativa, realizando uma série de ataques em grande escala.

Este artigo irá analisar os métodos típicos de operação de gangues de phishing, como Inferno Drainer e Nova Drainer, e listar detalhadamente as suas características comportamentais, com o objetivo de ajudar os usuários a aumentar a sua capacidade de reconhecimento e prevenção contra fraudes de phishing.

Conceito de Scam-as-a-Service

No mundo da encriptação, algumas equipas de phishing inventaram um novo modelo malicioso chamado Scam-as-a-Service (fraude como serviço). Este modelo agrupa ferramentas e serviços de fraude, oferecendo-os de forma comercial a outros criminosos. Inferno Drainer é um exemplo típico nesta área, tendo arrecadado mais de 80 milhões de dólares em fraudes durante o período de encerramento do serviço, que foi anunciado pela primeira vez entre novembro de 2022 e novembro de 2023.

Inferno Drainer ajuda os compradores a iniciar ataques rapidamente, fornecendo ferramentas e infraestrutura de phishing prontas, incluindo front-end e back-end de sites de phishing, contratos inteligentes e contas de redes sociais. Os phishers que compram o serviço retêm a maior parte do dinheiro roubado, enquanto o Inferno Drainer cobra uma comissão de 10%-20%. Este modelo reduz significativamente a barreira técnica para fraudes, tornando o crime cibernético mais eficiente e escalável, levando a um aumento dos ataques de phishing na indústria encriptação, especialmente entre usuários que carecem de consciência de segurança, que se tornam alvos mais fáceis.

Mecanismo de funcionamento do Scam-as-a-Service

Antes de entender o SaaS, vamos dar uma olhada no fluxo de trabalho típico de uma aplicação descentralizada (DApp). Uma DApp típica geralmente consiste em uma interface frontal (como uma página da Web ou um aplicativo móvel) e contratos inteligentes na blockchain. Os usuários se conectam à interface frontal da DApp através de uma carteira de blockchain, a página frontal gera a transação correspondente da blockchain e a envia para a carteira do usuário. O usuário, então, usa a carteira de blockchain para assinar e aprovar a transação, e uma vez assinada, a transação é enviada para a rede blockchain, chamando o contrato inteligente correspondente para executar a funcionalidade desejada.

Os atacantes de phishing induzem habilmente os usuários a executar operações inseguras, projetando interfaces front-end e contratos inteligentes maliciosos. Os atacantes geralmente direcionam os usuários a clicar em links ou botões maliciosos, enganando-os para aprovar algumas transações ocultas e maliciosas, e em alguns casos, induzindo diretamente os usuários a revelarem suas chaves privadas. Uma vez que os usuários assinam essas transações maliciosas ou expõem suas chaves privadas, os atacantes conseguem facilmente transferir os ativos dos usuários para suas próprias contas.

As táticas de phishing mais comuns incluem:

1. Falsificação de front-end de projetos conhecidos: os atacantes imitam cuidadosamente o site oficial de projetos conhecidos, criando uma interface front-end que parece legítima, fazendo os usuários acreditarem que estão interagindo com um projeto confiável.

2. Esquemas de airdrop de tokens: Publicidade em grande escala de sites de phishing nas redes sociais, alegando ter oportunidades atraentes como "airdrops gratuitos", "pré-vendas antecipadas", "cunhagem gratuita de NFTs", induzindo as vítimas a clicar em links e aprovar transações maliciosas.

3. Incidentes falsos de hackers e fraudes de recompensas: alegando que um projeto conhecido sofreu um ataque de hackers ou que os ativos foram congelados, estão a oferecer compensações ou recompensas aos usuários, atraindo-os para sites de phishing através de uma emergência falsa.

O modelo SaaS é o principal impulsionador do aumento das fraudes de phishing nos últimos dois anos. Antes do surgimento do SaaS, os atacantes de phishing precisavam de capital inicial em cadeia, criar sites front-end e contratos inteligentes para cada ataque, embora a maioria desses sites de phishing fosse rudimentar, ainda havia uma certa barreira técnica. Fornecedores de ferramentas SaaS, como Inferno Drainer, eliminaram completamente a barreira técnica das fraudes de phishing, oferecendo serviços de criação e hospedagem de sites de phishing para compradores que carecem da tecnologia correspondente, e extraindo lucros dos ganhos fraudulentos.

O retorno do Inferno Drainer e o mecanismo de divisão dos lucros

No dia 21 de maio de 2024, o Inferno Drainer publicou uma mensagem de verificação de assinatura no etherscan, anunciando seu retorno e criando um novo canal no Discord. A equipe de segurança recentemente concentrou-se em monitorar alguns endereços de phishing com comportamentos anormais, e após a análise e investigação das transações, acreditamos que essas transações são as transferências de fundos e divisão de lucros do Inferno Drainer após detectar que as vítimas haviam caído na armadilha.

Tomando uma das transações como exemplo, o processo de ataque é o seguinte:

1. Inferno Drainer cria um contrato através do CREATE2. O CREATE2 é uma instrução na máquina virtual Ethereum que permite criar contratos inteligentes, permitindo calcular antecipadamente o endereço do contrato com base no bytecode do contrato inteligente e em um salt fixo.

2. Chamar o contrato criado, aprovando o DAI da vítima para o endereço de phishing (comprador do serviço Inferno Drainer) e para o endereço de partilha de lucros. O atacante, através de vários métodos de phishing, leva a vítima a assinar involuntariamente uma mensagem maliciosa Permit2.

3. Transferir 3,654 e 7,005 DAI para dois endereços de divisão, transferir 50,255 DAI para o comprador, completando a divisão.

Nesta transação, o comprador do serviço de pesca levou 82,5% do dinheiro sujo, enquanto o Inferno Drainer reteve 17,5%.

Processo rápido de criação de sites de phishing

Com a ajuda do SaaS, os atacantes podem criar rapidamente sites de phishing. Os passos específicos são os seguintes:

1. Entre no canal TG fornecido pelo Drainer e use comandos simples para criar um domínio gratuito e o respectivo endereço IP.

2. Escolha um dos centenas de modelos fornecidos pelo robô, entre no processo de instalação e, em poucos minutos, será gerado um site de phishing com aparência realista.

3. Procurar vítimas. Assim que uma vítima entrar no site, acreditar nas informações fraudulentas na página e conectar a carteira para aprovar transações maliciosas, seus ativos serão transferidos.

Todo o processo leva apenas alguns minutos, reduzindo significativamente o custo do crime.

Sugestões de Segurança

Para prevenir ataques de phishing deste tipo, os usuários devem:

• Não acredite facilmente nas promoções de "dinheiro caindo do céu", como airdrops ou compensações suspeitas.
• Verifique cuidadosamente a URL do site antes de conectar a carteira, esteja atento a sites que imitam projetos conhecidos.
• Utilize a ferramenta de consulta de domínio WHOIS para verificar a data de registo do site, sites com um tempo de registo muito curto podem ser projetos fraudulentos.
• Não forneça palavras-chave, chaves privadas ou outras informações pessoais a sites ou aplicativos suspeitos.
• Antes de assinar mensagens ou aprovar transações, verifique cuidadosamente se estão envolvidos operações de Permit ou Approve que possam resultar em perda de fundos.
• Siga contas oficiais como CertiK Alert que publicam informações de alerta para se manter informado sobre as últimas tendências de fraudes.
• Se você descobrir que autorizou tokens acidentalmente a um endereço de fraude, deve imediatamente revogar a autorização ou transferir os ativos remanescentes para um endereço seguro.