Шифрование в мире рыбной ловли: разоблачение экосистемы Scam-as-a-Service

С июня 2024 года команда безопасности зафиксировала большое количество аналогичных фишинговых транзакций, только в июне сумма, связанная с делом, превысила 55 миллионов долларов. В августе и сентябре соответствующая фишинговая активность стала еще более частой, и ситуация усугубилась. В третьем квартале 2024 года фишинговые атаки стали самым крупным источником экономических убытков, в 65 атаках было получено более 243 миллионов долларов. Анализ показывает, что недавние частые фишинговые атаки, вероятно, связаны с печально известной командой фишинговых инструментов Inferno Drainer. Эта команда объявила о "пенсии" в конце 2023 года, но, похоже, сейчас снова активна, запустив серию массовых атак.

В данной статье будет проанализирован типичный modus operandi сетевых фишинговых групп, таких как Inferno Drainer, Nova Drainer, и подробно перечислены их поведенческие характеристики, с целью помочь пользователям повысить свою способность к распознаванию и предотвращению фишинговых мошенничеств.

Концепция Scam-as-a-Service

В мире шифрования некоторые фишинговые группы создали новый вредоносный режим, называемый Scam-as-a-Service (мошенничество как услуга). Этот режим упаковывает инструменты и услуги мошенничества и предлагает их другим преступникам в товарном виде, Inferno Drainer является представителем этой области. В период с ноября 2022 года по ноябрь 2023 года, когда они впервые объявили о закрытии своих услуг, сумма мошенничества превысила 80 миллионов долларов.

Inferno Drainer помогает покупателям быстро инициировать атаки, предоставляя готовые инструменты и инфраструктуру для фишинга, включая фронтенд и бэкенд фишинговых сайтов, смарт-контракты и аккаунты в социальных сетях. Фишеры, покупающие услуги, сохраняют большую часть похищенных средств, в то время как Inferno Drainer берет комиссию в размере 10%-20%. Эта модель значительно снижает технический барьер для мошенничества, делая киберпреступность более эффективной и масштабируемой, что приводит к распространению фишинговых атак в шифрование-сфере, особенно среди пользователей, не обладающих достаточной безопасностью.

Как работает Scam-as-a-Service

Типичное децентрализованное приложение (DApp) обычно состоит из фронтенд-интерфейса и смарт-контрактов на блокчейне. Пользователи подключаются к фронтенд-интерфейсу DApp через кошелек блокчейна, фронтенд-страница генерирует соответствующую транзакцию блокчейна и отправляет ее в кошелек пользователя. Затем пользователь использует кошелек блокчейна для подписания и одобрения этой транзакции, после завершения подписи транзакция отправляется в сеть блокчейна и вызывается соответствующий смарт-контракт для выполнения необходимых функций.

Атакующие с помощью фишинга хитро разрабатывают вредоносные интерфейсы и смарт-контракты, чтобы склонить пользователей к выполнению небезопасных операций. Обычно злоумышленники направляют пользователей к нажатию на вредоносные ссылки или кнопки, обманывая их, чтобы те одобрили скрытые вредоносные транзакции, или даже напрямую заставляют пользователей раскрывать свои приватные ключи. Как только пользователь подписывает эти вредоносные транзакции или раскрывает свои приватные ключи, злоумышленники могут легко перевести активы пользователя на свои счета.

Распространенные методы включают:

1. Подделка известных проектов: злоумышленники тщательно имитируют официальные веб-сайты известных проектов, создавая внешние интерфейсы, которые выглядят законными, что заставляет пользователей думать, что они взаимодействуют с надежным проектом, тем самым ослабляя бдительность, подключая кошелек и выполняя небезопасные действия.

2. Мошенничество с аирдропами токенов: на социальных медиа активно рекламируются фишинговые сайты, утверждающие, что есть "бесплатные аирдропы", "ранние предпродажи", "бесплатное чеканка NFT" и другие привлекательные возможности, заманивая жертв кликнуть по ссылке. После того как жертвы попадают на фишинговый сайт, они часто бессознательно подключают кошелек и одобряют вредоносные транзакции.

3. Ложные хакерские инциденты и схемы вознаграждений: преступники утверждают, что известный проект подвергся хакерской атаке или заморозке активов и теперь выплачивает пользователям компенсацию или награды. Они используют эти ложные чрезвычайные ситуации, чтобы привлечь пользователей на фишинговые сайты, обманом заставляя подключать свои кошельки, в конечном итоге похищая средства пользователей.

Поставщики инструментов SaaS, такие как Inferno Drainer, полностью устранили технические барьеры для фишинга, предоставляя услуги по созданию и хостингу фишинговых сайтов для покупателей, не обладающих соответствующими технологиями, и извлекая прибыль из мошеннических доходов.

Способы дележа добычи между Inferno Drainer и покупателями SaaS

21 мая 2024 года Inferno Drainer опубликовал сообщение о проверке подписи на etherscan, объявив о возвращении и создав новый канал в Discord.

Анализируя типичную сделку, мы можем понять, как работает Inferno Drainer:

1. Inferno Drainer создает контракт с помощью CREATE2. CREATE2 - это команда в виртуальной машине Ethereum, используемая для создания смарт-контрактов, которая позволяет заранее вычислить адрес контракта на основе байт-кода смарт-контракта и фиксированной соли. Inferno Drainer использует эту особенность, чтобы заранее вычислить адрес контракта для покупателей фишинговых услуг, а когда жертва попадает в ловушку, он создает контракт для распределения добычи, завершив перевод токенов и операции по распределению добычи.

2. Вызов созданного контракта, одобрение токенов жертвы фишинговому адресу (покупателю сервиса Inferno Drainer) и адресу для дележа. Злоумышленник с помощью фишинга заставляет жертву нечаянно подписать злонамеренное сообщение Permit2. Permit2 позволяет пользователям авторизовать перевод токенов с помощью подписи, не взаимодействуя напрямую с кошельком.

3. Переведите разные количества токенов на два адреса распределения и покупателю, завершив распределение. В типичной сделке покупатель получает 82,5% от выручки, в то время как Inferno Drainer оставляет себе 17,5%.

Стоит отметить, что Inferno Drainer может в какой-то степени обойти некоторые функции защиты от фишинга кошельков, создавая контракт перед разделением добычи, так как на момент одобрения жертвой злонамеренной транзакции этот контракт еще не был создан.

Простые шаги по созданию фишингового сайта

С помощью SaaS злоумышленникам стало крайне просто создавать фишинговые сайты:

1. Войдите в коммуникационный канал, предоставленный Drainer, и используйте простую команду для создания бесплатного доменного имени и соответствующего IP-адреса.

2. Выберите один из сотен предоставленных шаблонов, перейдите к процессу установки, и через несколько минут вы сможете создать сайт-ловушку, который выглядит как настоящий.

3. Найдите жертву. Как только кто-то войдет на этот сайт, поверит мошеннической информации на странице и подключит кошелек для одобрения злонамеренной транзакции, его активы будут переведены.

Весь процесс занимает всего несколько минут, что значительно снижает затраты на преступность.

Резюме и рекомендации по предотвращению

Возвращение Inferno Drainer создает огромные риски безопасности для пользователей в отрасли. Пользователи, участвующие в сделках с криптовалютой, должны быть бдительными и помнить о следующих пунктах:

• Будьте осторожны с "пирожками, падающими с неба": не доверяйте подозрительным бесплатным аирдропам или компенсациям, доверяйте только официальным сайтам или проектам, прошедшим профессиональный аудит.

• Проверьте сетевое соединение: внимательно проверьте URL перед подключением кошелька и будьте осторожны с сайтами, имитирующими известные проекты. Вы можете использовать инструмент WHOIS для проверки доменных имен, чтобы узнать дату регистрации; сайты с слишком коротким сроком регистрации могут быть мошенническими проектами.

• Защита личной информации: никогда не передавайте свои мнемонические фразы или приватные ключи подозрительным сайтам или приложениям. Перед подписанием или одобрением транзакций в кошельке внимательно проверьте, связаны ли они с Permit или Approve транзакциями, которые могут привести к потере средств.

• Следите за обновлениями информации о мошенничестве: подписывайтесь на официальные аккаунты в социальных сетях, которые регулярно публикуют предупреждающую информацию. Если вы обнаружите, что случайно разрешили токены мошенническому адресу, своевременно отозовите разрешение или переведите оставшиеся активы на другой безопасный адрес.