StepDrainer opróżnia portfele kryptowalutowe w ponad 20 sieciach
Narzędzie do kradzieży kryptowalut o nazwie StepDrainer opróżnia portfele w sieciach Ethereum, BNB Chain, Arbitrum, Polygon i co najmniej 17 innych.
StepDrainer działa jako zestaw malware-as-a-service. Wykorzystuje fałszywe, ale realistyczne wyskakujące okienka portfeli Web3, aby nakłonić użytkowników do zatwierdzania transferów. Niektóre z tych ekranów są zaprojektowane tak, aby przypominały połączenia portfela Web3Modal.
Po podłączeniu portfela StepDrainer najpierw wyszukuje najcenniejsze tokeny i automatycznie wysyła je do portfeli kontrolowanych przez atakujących – wynika z informacji LevelBlue.
StepDrainer nadużywa narzędzi smart kontraktów
StepDrainer nadużywa prawdziwych narzędzi smart kontraktów, takich jak Seaport i Permit v2, aby wyświetlać wyskakujące okienka zatwierdzeń portfela, które wyglądają normalnie. Jednak szczegóły w tych okienkach są fałszywe.
W jednym przypadku badacze cyberbezpieczeństwa odkryli, że ofiary widziały fałszywą wiadomość informującą, że otrzymują „+500 USDT", co sprawiało, że zatwierdzenie wyglądało bezpiecznie.
StepDrainer ładuje swój szkodliwy kod za pośrednictwem zmieniających się skryptów i pobiera swoją konfigurację ze zdecentralizowanych kont on-chain.
Ta konfiguracja pomaga atakującym omijać standardowe narzędzia bezpieczeństwa, ponieważ szkodliwy kod nie jest przechowywany w jednym stałym miejscu, gdzie można by go łatwo zeskanować.
StepDrainer nie jest projektem jednej osoby. Badacze wskazali, że istnieje rozbudowany podziemny rynek sprzedający gotowe zestawy drainerów, co ułatwia wielu atakującym dodawanie funkcji kradzieży portfeli do prowadzonych przez nich oszustw.
EtherRAT wysysa kryptowaluty od użytkowników systemu Windows
Badacze odkryli również inne złośliwe oprogramowanie poza StepDrainer, o nazwie EtherRAT. Atakuje ono system Windows za pośrednictwem fałszywej wersji narzędzia administracyjnego Tftpd64.
Według LevelBlue, EtherRAT ukrywa Node.js wewnątrz fałszywego instalatora, zapewnia sobie trwałość na komputerze poprzez rejestr Windows i używa PowerShell do sprawdzania systemu.
EtherRAT pierwotnie atakował Linux. Teraz przenosi swoje techniki złośliwego oprogramowania i kradzież kryptowalut na Windows.
EtherRAT działa cicho w tle. Sprawdza m.in. narzędzia antywirusowe, ustawienia systemowe, szczegóły domeny i sprzęt, zanim rozpocznie kradzież.
Według niedawnego raportu Cryptopolitan, w ciągu ostatnich 24 godzin opróżniono ponad 500 portfeli Ethereum. Atakujący przejął ponad 800 tys. USD w aktywach kryptograficznych, a następnie wymienił środki za pośrednictwem ThorChain.
Wiele opróżnionych portfeli było nieaktywnych przez ponad 7 lat – wynika z badań on-chain przeprowadzonych przez Wazz. Wyprowadzone środki były kierowane przez jeden adres portfela kontrolowany przez atakującego.
Badacze cyberbezpieczeństwa radzą użytkownikom podłączającym portfele do nieznanych stron, aby weryfikowali domenę, czytali szczegóły transakcji przed podpisaniem oraz usuwali wszelkie nieograniczone zatwierdzenia tokenów.
Istnieje złoty środek między trzymaniem pieniędzy w banku a ryzykowaniem wszystkiego w kryptowalutach. Zacznij od tego bezpłatnego wideo o zdecentralizowanych finansach.
Możesz także polubić
Fundusze ETF Bitcoin tracą prawie pół miliarda dolarów, gdy strach powraca do kryptowalut
Gazeta Jeffa Bezosa Washington Post ostro krytykuje „wyjątkowo głupi" plan Trumpa
