Сливы кошельков — это тип мошенничества, который обычно работает путем клонирования законного веб-сайта, обмана вынуждает жертву предоставить учетные данные своего криптокошелька, а затем выполняет смарт-контракт, который отправляет средства пользователей злоумышленникам.

🚨1/ Внимание: «Wallet Drainer» был связан с фишинговыми кампаниями в поиске Google и рекламе X, в результате чего за 9 месяцев было украдено около 58 миллионов долларов США у более чем 63 тысяч жертв. pic.Twitter.com/ye3ob2uTtz

— Анализатор мошенничества | Web3 Anti-Scam (@realScamSniffer) 21 декабря 2023 г.

В отличие от целенаправленных атак на биржи, которые фактически подразумевают нарушение безопасности указанных сайтов, мошенничество с утечкой нацелено либо на сообщество платформы, либо на китов, чье присутствие в Интернете было отслежено.

Другая схема монетизации

Как правило, часть средств перенаправляется непосредственно хакеру, создавшему программное обеспечение, — это положение закодировано в смарт-контракте, который опустошает кошелек, чтобы злоумышленник не смог вернуться обратно. Как говорится, среди воров нет чести.

В конце прошлого месяца аналогичный инструмент Inferno Drainer закрылся после кражи еще большей суммы за несколько месяцев. Обе платформы начали работу весной.

Однако MS Drainer в этом отношении отличается, продавая доступ к программному обеспечению по цене 1499 долларов. Дополнительные дополнения к программному обеспечению можно приобрести за дополнительную пару сотен долларов. Если также будет запрошена вредоносная подпись Blur, это обойдется покупателю еще в тысячу долларов.

8/ Анализ показывает, что этот вымогатель кошельков украл около 58,98 миллиона долларов у 63 210 жертв за 9 месяцев через связанные адреса. https://t.co/um9n53GFqN

— Анализатор мошенничества | Web3 Anti-Scam (@realScamSniffer) 21 декабря 2023 г.

Пренебрежение мерами безопасности рекламы

Хотя Google проверяет рекламные объявления, отправленные в AdSense, чтобы предотвратить показ пользователям мошеннических, незаконных продуктов и т. д., эти процессы в значительной степени автоматизированы и, следовательно, могут быть сорваны теми, кто разбирается в этих системах. В данном случае, похоже, переключение региона было использовано, чтобы избежать обнаружения и замедлить любые расследования, которые могли проводиться.

Вредоносная реклама также появлялась на X с тех пор, как социальная сеть начала передавать рекламное пространство на аутсорсинг Google. Заппер, Лидо, Дефиллама, Сияющий и Звездные врата были клонированы и использованы в этих атаках.

«В ходе недавнего выборочного тестирования рекламы в лентах X было обнаружено, что почти 60% фишинговых объявлений используют их. В то же время в этих фишинговых объявлениях также использовались методы обмана с перенаправлением, чтобы сделать фишинговую рекламу более достоверной. Например, реклама выглядит как с официального домена, но на самом деле конечным пунктом назначения является фишинговый сайт. Вы можете подумать, что нажали на рекламу официального сайта StarkNet, но на самом деле вы зашли на фишинговый сайт».

В некоторых случаях даже отказ от проверки URL-адреса может помочь, поскольку в объявлении, показываемом пользователям, отображается правильная ссылка, а затем позже переключается на ссылку с ошибкой.

В общей сложности у более чем 63 тысяч жертв, использовавших это программное обеспечение, было украдено почти 59 миллионов долларов.

В отличие от команды Inferno, поставщик вредоносного ПО, стоящий за этим инструментом, не собирается закрываться в ближайшее время.

Источник