StepDrainer leegt cryptowallets op meer dan 20 netwerken
Een crypto-stelend hulpmiddel genaamd StepDrainer leegt wallets op Ethereum, BNB Chain, Arbitrum, Polygon en ten minste 17 andere netwerken.
StepDrainer werkt als een malware-as-a-service-kit. Het gebruikt neppe maar realistische Web3-wallet-pop-ups om mensen te misleiden transacties goed te keuren. Sommige van die schermen zijn gemaakt om op Web3Modal-walletverbindingen te lijken.
Zodra iemand zijn wallet verbindt, zoekt StepDrainer eerst naar de meest waardevolle tokens en stuurt deze automatisch naar wallets die door de aanvallers worden beheerd, aldus LevelBlue.
StepDrainer misbruikt smart contract-tools
StepDrainer misbruikt echte smart contract-tools zoals Seaport en Permit v2 om wallet-goedkeurings-pop-ups te tonen die er normaal uitzien. Maar de details in die pop-ups zijn nep.
In één geval ontdekten cyberbeveiligingsonderzoekers dat slachtoffers een nep-bericht zagen dat zei dat ze "+500 USDT" ontvingen, waardoor de goedkeuring veilig leek.
StepDrainer laadt zijn schadelijke code via veranderende scripts en haalt zijn configuratie op uit gedecentraliseerde on-chain accounts.
Die opzet helpt de aanvallers normale beveiligingstools te omzeilen, omdat de schadelijke code niet op één vaste locatie is opgeslagen waar deze gemakkelijk kan worden gescand.
StepDrainer is niet het project van één persoon. Onderzoekers zeiden dat er een ontwikkelde ondergrondse markt is die kant-en-klare drainer-kits verkoopt, waardoor het voor veel aanvallers gemakkelijker wordt om wallet-stelende functies toe te voegen aan oplichting die ze al uitvoeren.
EtherRAT onttrekt crypto van Windows-gebruikers
Onderzoekers vonden ook een andere malware naast StepDrainer, genaamd EtherRAT. Het richt zich op Windows via een neppe versie van de Tftpd64 netwerkbeheertool.
Volgens LevelBlue verbergt EtherRAT Node.js in een neppe installer, zorgt ervoor dat het op de computer blijft via het Windows-register en gebruikt PowerShell om het systeem te controleren.
EtherRAT richtte zich eerst op Linux. Nu brengt het malware-trucs en crypto-diefstal naar Windows.
EtherRAT draait stilletjes op de achtergrond. Het controleert zaken zoals antivirustools, systeeminstellingen, domeingegevens en hardware voordat het begint met stelen.
Volgens een recent Cryptopolitan-rapport zijn er in de afgelopen 24 uur meer dan 500 Ethereum-wallets leeggehaald. De aanvaller onttrok meer dan $800K aan crypto-activa en wisselde de fondsen vervolgens via ThorChain.
Veel van de leeggemaakte wallets zijn al meer dan 7 jaar inactief, aldus on-chain onderzoeker Wazz. De onttrokken fondsen werden geleid via één walletadres dat door de aanvaller werd beheerd.
Cyberbeveiligingsonderzoekers adviseren gebruikers die wallets verbinden met onbekende sites om het domein te verifiëren, de transactiedetails te lezen voordat ze ondertekenen en eventuele onbeperkte token-goedkeuringen te verwijderen.
Er is een middenweg tussen geld op de bank laten staan en alles op het spel zetten in crypto. Begin met deze gratis video over gedecentraliseerde financiën.
Misschien vind je dit ook leuk
Bitcoin ETF's verliezen bijna een half miljard dollar terwijl angst terugkeert in de crypto
Jeff Bezos' Washington Post levert vernietigende kritiek op Trumps 'bijzonder dwaze' plan
