بازگشت Inferno Drainer؛ ۹ میلیون دلار سرقت از کیف‌پول‌ها

بدافزار Inferno Drainer بازگشته و در شش ماه ۹ میلیون دلار از کیف پول‌های رمزارز سرقت کرده است

بدافزار سرقت رمزارز Inferno Drainer علی‌رغم اعلام عمومی توقف فعالیت، هنوز فعال است و در شش ماه گذشته بیش از ۹ میلیون دلار از کیف پول‌های رمزارز سرقت کرده است.

به گفته شرکت امنیت سایبری Check Point Research، بیش از ۳۰هزار کیف پول رمزارز توسط این کمپین بدافزاری بازگشته خالی شده‌اند. توسعه‌دهندگان این بدافزار در نوامبر ۲۰۲۳ ادعا کرده بودند که فعالیت خود را متوقف کرده‌اند. سخنگوی CPR به Decrypt گفت که این رقم بر اساس «داده‌های به‌دست‌آمده از مهندسی معکوس کد JavaScript بدافزار، رمزگشایی تنظیمات دریافت‌شده از سرور فرماندهی و کنترل (C&C) و تحلیل فعالیت‌های آن در زنجیره بلاکچین» است. آنها افزودند که اکثریت تراکنش‌های مشاهده‌شده روی شبکه‌های اتریوم و بایننس چین انجام شده است.

تحلیلگران CPR گزارش دادند که قراردادهای هوشمند Inferno Drainer که در سال ۲۰۲۳ مستقر شده‌اند تا امروز فعال باقی مانده‌اند و به نظر می‌رسد نسخه فعلی بدافزار نسبت به نسخه قبلی بهبود یافته است. گفته می‌شود این بدافزار اکنون قادر است از قراردادهای هوشمند یک‌بار مصرف و تنظیمات رمزگذاری‌شده در زنجیره بلاکچین استفاده کند که شناسایی و جلوگیری از حملات را بسیار دشوارتر می‌کند.

علاوه بر این، ارتباط با سرورهای فرماندهی و کنترل از طریق سیستم‌های پراکسی پیچیده شده است، به طوری که ردیابی آن حتی دشوارتر شده است.

بازگشت Inferno Drainer هم‌زمان با یک کمپین فیشینگ است که کاربران Discord را هدف قرار داده است. به گفته تحلیلگران CPR، این کمپین با استفاده از تکنیک‌های مهندسی اجتماعی کاربران را از وب‌سایت یک پروژه مشروع Web3 به سایتی جعلی هدایت می‌کرد که رابط کاربری تأیید هویت ربات محبوب Collab.Land در Discord را تقلید می‌کرد. سایت جعلی Collab.Land یک ابزار سرقت رمزارز میزبانی می‌کرد که با فریب کاربران و وادار کردن آنها به امضای تراکنش‌های مخرب، به مهاجمان امکان دسترسی به وجوه آنها را می‌داد.

تحلیلگران CPR گفتند این کمپین بدافزاری با «ترکیب فریب هدفمند و تاکتیک‌های مؤثر مهندسی اجتماعی»، جریان مالی پایداری را ایجاد کرده است که از طریق تحلیل تراکنش‌های بلاکچین شناسایی شده است. به کاربران رمزارز توصیه می‌شود هنگام تعامل با پلتفرم‌های ناآشنا، احتیاط بیشتری به خرج دهند. ربات جعلی Collab.Land که توسط CPR شناسایی شد تنها «تفاوت‌های بصری جزئی» با نسخه اصلی داشت و مجرمان سایبری پشت این فریب احتمالاً «به بهبود هرچه بیشتر تقلید خود» ادامه خواهند داد.

به گفته آنها، چون سرویس اصلی Collab.Land از کاربران می‌خواهد با امضا کردن کیف پول خود را تأیید کنند، «حتی کاربران باتجربه رمزارز ممکن است در مواجهه با ربات جعلی از احتیاط کاسته و مراقبت کمتری کنند»، که این موضوع اهمیت بررسی صحت منبع قبل از اتصال کیف پول به هر سرویسی را دوچندان می‌کند.

بازگشت Inferno Drainer تنها یکی از چندین کمپین بدافزاری است که در ماه‌های اخیر ظاهر شده‌اند. هکرها برای تحویل بدافزارهای سرقت رمزارز به‌طور فزاینده‌ای از تکنیک‌های پیشرفته استفاده می‌کنند و فهرست ایمیل‌های هک‌شده، کتابخانه‌های متن‌باز پایتون و حتی گوشی‌های Android جعلی را با تروجان‌های پیش‌نصب هدف قرار می‌دهند.