StepDrainer сливает криптовалютные кошельки через +20 сетей
Инструмент для кражи криптовалюты под названием StepDrainer опустошает кошельки в сетях Ethereum, BNB Chain, Arbitrum, Polygon и как минимум 17 других сетях.
StepDrainer работает как комплект вредоносного ПО по подписке. Он использует поддельные, но реалистичные всплывающие окна Web3-кошельков, чтобы обманом заставить пользователей подтверждать переводы. Некоторые из этих экранов имитируют подключение через Web3Modal.
Как только пользователь подключает кошелёк, StepDrainer ищет наиболее ценные токены и автоматически отправляет их на кошельки под контролем злоумышленников, сообщает LevelBlue.
StepDrainer злоупотребляет инструментами смарт-контрактов
StepDrainer злоупотребляет реальными инструментами смарт-контрактов, такими как Seaport и Permit v2, чтобы отображать всплывающие окна подтверждения кошелька, выглядящие как обычные. Однако данные внутри этих окон поддельные.
В одном из случаев исследователи в области кибербезопасности обнаружили, что жертвы видели поддельное сообщение о получении «+500 USDT», из-за чего подтверждение казалось безопасным.
StepDrainer загружает вредоносный код через изменяемые скрипты и получает конфигурацию из децентрализованных ончейн-аккаунтов.
Такой подход помогает злоумышленникам обходить стандартные инструменты безопасности, поскольку вредоносный код не хранится в одном фиксированном месте, где его можно легко обнаружить при сканировании.
StepDrainer — это не проект одного человека. Исследователи отметили, что существует развитый подпольный рынок, торгующий готовыми комплектами дрейнеров, что упрощает множеству злоумышленников добавление функций кражи кошельков в уже проводимые ими мошеннические схемы.
EtherRAT похищает криптовалюту у пользователей Windows
Исследователи также обнаружили ещё одно вредоносное ПО помимо StepDrainer — EtherRAT. Оно атакует Windows через поддельную версию сетевого инструмента администрирования Tftpd64.
По данным LevelBlue, EtherRAT скрывает Node.js внутри поддельного установщика, обеспечивает своё присутствие в системе через реестр Windows и использует PowerShell для проверки системы.
EtherRAT изначально был нацелен на Linux. Теперь он переносит свои вредоносные приёмы и кражу криптовалюты на Windows.
EtherRAT тихо работает в фоновом режиме. Перед началом кражи он проверяет антивирусные инструменты, системные настройки, сведения о домене и аппаратное обеспечение.
Согласно недавнему отчёту Cryptopolitan, за последние 24 часа было опустошено более 500 кошельков Ethereum. Злоумышленник вывел более 800 000$ в криптоактивах, а затем обменял средства через ThorChain.
По данным ончейн-исследователя Wazz, многие из опустошённых кошельков не проявляли активности более 7 лет. Выведенные средства были направлены на единственный адрес кошелька под контролем злоумышленника.
Исследователи в области кибербезопасности советуют пользователям, подключающим кошельки к незнакомым сайтам, проверять домен, изучать детали транзакции перед подписанием и отзывать неограниченные одобрения токенов.
Существует золотая середина между хранением денег в банке и рискованными ставками в криптовалюте. Начните с этого бесплатного видео о децентрализованных финансах.
Вам также может быть интересно
Прогноз цены XRP: Стрекоза Доджи (Паттерн) подпитывает нарратив восстановления, но диапазон 1,38$ сигнализирует о грядущей волатильности
«Будь проклят этот режим»: скандал после того, как DHS Трампа снёс культурный объект тысячелетней давности
