Οι διαφημίσεις της Google και του Twitter προωθούν ιστότοπους που περιέχουν ένα σύστημα αποστράγγισης κρυπτονομισμάτων με το όνομα «MS Drainer» που έχει ήδη κλέψει 59 εκατομμύρια δολάρια από 63.210 θύματα τους τελευταίους εννέα μήνες.
Σύμφωνα με αναλυτές απειλών blockchain στο
ScamSniffer
ανακάλυψαν πάνω από δέκα χιλιάδες ιστότοπους phishing χρησιμοποιώντας το drainer από τον Μάρ
τι
ο του 2023 έως σήμερα, με αιχμές στη δραστηριότητα που παρατηρήθηκαν τον Μάιο, τον Ιούνιο και τον Νοέμβριο.
Το drainer είναι ένα κακόβουλο έξυπνο συμβόλαιο ή, σε αυτήν την περίπτωση, μια πλήρης σουίτα phishing που έχει σχεδιαστεί για την αποστράγγιση χρημάτων από το πορτοφόλι κρυπτονομισμάτων ενός χρήστη χωρίς τη συγκατάθεσή του.
Οι χρήστες οδηγούνται σε έναν ιστότοπο phishing με νόμιμη εμφάνιση και εξαπατώνται για να εγκρίνουν κακόβουλα συμβόλαια, επιτρέποντας στον αποστραγγιστή να εκτελεί αυτόματα μη εξουσιοδοτημένες συναλλαγές και να μεταφέρει τα χρήματα του θύματος στη διεύθυνση πορτοφολιού του εισβολέα.
Ο πηγαίος κώδικας για το MS Drainer πωλείται σε εγκληματίες του κυβερνοχώρου για 1.500 $ από έναν χρήστη που ονομάζεται «Pakulichev» ή «PhishLab», ο οποίος χρεώνει επίσης ένα τέλος 20% για τυχόν χρήματα που κλαπούν με την εργαλειοθήκη.
Επιπλέον
, το PhishLab πουλά επιπλέον λειτουργικές μονάδες που προσθέτουν νέες δυνατότητες στο κακόβουλο λογισμικό, με κόστος μεταξύ 500 και 1.000 $.
Δημοσίευση προώθησης του MS Drainer σε εγκληματίες στον κυβερνοχώρο
(ScamSniffer)
Σύμφωνα με δεδομένα blockchain για
Δραστηριότητα MS Drainer
ένα από τα θύματά του της αλυσίδας
Ethereum
έχασε κρυπτονομίσματα αξίας 24 εκατομμυρίων δολαρίων, ενώ άλλες αξιοσημείωτες περιπτώσεις αφορούν τα θύματα που έχασαν μεταξύ 440.000 και 1,2 εκατομμύρια δολάρια.
Δόλιες διαφημίσεις στο Google και το X
Στην
Αναζήτηση
Google, το MS Drainer προωθείται μέσω κακόβουλων διαφημίσεων που εμφανίζονται για λέξεις-κλειδιά που σχετίζονται με πλατφόρμες DeFi όπως Zapper, Lido, Stargate, Defillama, Orbiter Finance και Radiant.
Πολλές από αυτές τις διαφημίσεις εκμεταλλεύονται το παραθυράκι του προτύπου παρακολούθησης του Google Ads για να κάνουν τη διεύθυνση URL να φαίνεται ότι ανήκει στον επίσημο τομέα του πλαστού έργου. Ωστόσο, μια ανακατεύθυνση οδηγεί όσους κάνουν κλικ σε έναν ιστότοπο ηλεκτρονικού ψαρέματος.
Παράδειγμα κακόβουλων διαφημίσεων στην Αναζήτηση Google
(ScamSniffer)
Στο X, πιο γνωστό ως Twitter, οι διαφημίσεις για το MS Drainer είναι τόσο άφθονες που η ScamSniffer αναφέρει ότι αντιπροσωπεύουν έξι από τις εννέα διαφημίσεις phishing στη ροή τους.
Σημειωτέον, πολλές από τις διαφημίσεις απάτης στο X δημοσιεύονται από νόμιμους “επαληθευμένους” λογαριασμούς που έφεραν το μπλε σήμα τικ όταν εμφανιζόταν η διαφήμιση.
Ερευνητής ασφάλειας
MalwareHunterTeam
ποιος ήταν
παρακολούθησης
παρόμοιος
διαφημίσεις
είπε στο BleepingComputer ότι πιστεύουν ότι οι κάτοχοι λογαριασμών Twitter μπορεί να έχουν μολυνθεί με κακόβουλο λογισμικό που έκλεψε τα cookies ή τους κωδικούς πρόσβασης ελέγχου ταυτότητας, επιτρέποντας στους παράγοντες της απειλής να δημιουργήσουν διαφημίσεις από τους χακαρισμένους λογαριασμούς.
Περιέργως, ο ερευνητής μίλησε σε έναν λογαριασμό Χ που διαφήμιζε μια απάτη κρυπτονομισμάτων και του είπαν ότι δεν υπήρχε κανένα ίχνος από τις διαφημίσεις στους διαφημιστικούς του λογαριασμούς.
Στο X, οι εγκληματίες του κυβερνοχώρου χρησιμοποίησαν πολλά θέματα για τις διαφημίσεις τους, συμπεριλαμβανομένου ενός που ονομάζεται “Ordinals Bubbles”, το οποίο προώθησε μια υποτιθέμενη περιορισμένης έκδοσης συλλογή NFT (non-funable token) με διάφορους χαρακτήρες εγκλωβισμένους σε φυσαλίδες.
Διαφημίσεις
“Ordinals Bubbles” στο X
(ScamSniffer)
Οι διαφημίσεις προώθησαν επίσης NFT airdrops και νέα token σε ιστότοπους που περιέχουν το drainer.
Άλλες διαφημίσεις που προωθούν το MS Drainer στο X
(ScamSniffer)
Η ScamSniffer λέει ότι μια μέθοδος παράκαμψης εντοπισμού που χρησιμοποιείται από αυτές τις διαφημίσεις είναι το geofencing, το οποίο στοχεύει μόνο χρήστες από προκαθορισμένες περιοχές και ανακατευθύνει τους υπόλοιπους σε νόμιμους/αβλαβείς ιστότοπους.
Η σελίδα προορισμού αλλάζει ανάλογα με την τοποθεσία του επισκέπτη
(ScamSniffer)
Οι απάτες κρυπτονομισμάτων είχαν πάντα καλή απόδοση στο X, αλλά με αξιόπιστους, χακαρισμένους λογαριασμούς που εμφανίζουν τώρα διαφημίσεις που προωθούν κακόβουλους ιστότοπους, θα πρέπει να περιμένουμε να δούμε αυτούς τους τύπους επιθέσεων να γίνονται ακόμη πιο επιτυχημένοι.
Οι χρήστες θα πρέπει να είναι πολύ προσεκτικοί όταν βλέπουν διαφημίσεις που σχετίζονται με κρυπτονομίσματα και να κάνουν τη δέουσα επιμέλεια πριν εγγραφούν σε νέες πλατφόρμες, πόσο μάλλον να συνδέσουν τα πορτοφόλια τους.
//platform.twitter.com/widgets.js
VIA:
bleepingcomputer.com
