StepDrainer очищує криптогаманці по понад 20 мережах

Інструмент крадіжки криптовалюти під назвою StepDrainer краде гроші з гаманців по всій мережі Ethereum, BNB Chain, Arbitrum, Polygon та щонайменше з 17 інших мереж.

StepDrainer працює як набір зловмисного програмного забезпечення за моделлю malware-as-a-service. Він використовує фальшиві, але реалістичні спливаючі вікна Web3-гаманців, щоб обдурити людей і змусити їх схвалити перекази. Деякі з цих екранів зроблені так, щоб виглядати як підключення гаманця Web3Modal.

Після підключення гаманця, StepDrainer спочатку шукає найцінніші токени і автоматично відправляє їх на гаманці, контрольовані зловмисниками, згідно з LevelBlue.

StepDrainer неправомірно використовує інструменти смарт-контрактів

StepDrainer неправомірно використовує реальні інструменти смарт-контрактів, такі як Seaport і Permit v2, щоб показати спливаючі вікна з дозволами гаманця, що виглядають звичайно. Але деталі цих вікон є фальшивими.

В одному випадку дослідники з кібербезпеки виявили, що жертви бачили фальшиве повідомлення про отримання “+500 USDT,” що робило схвалення безпечним.

StepDrainer завантажує свій шкідливий код через змінювані скрипти і отримує свою налаштування з децентралізованих облікових записів у мережі.

Ця схема допомагає зловмисникам уникати звичайних засобів безпеки, оскільки шкідливий код не зберігається в одному фіксованому місці, де його можна легко просканувати.

StepDrainer — це не просто проект однієї особи. Дослідники повідомляють, що існує розвинений підпільний ринок, що продає готові набори для крадіжки, що полегшує багатьом зловмисникам додавати функції крадіжки гаманців до вже існуючих шахрайств.

EtherRAT краде криптовалюту з користувачів Windows

Дослідники також виявили ще один шкідливий програмний засіб, окрім StepDrainer, під назвою EtherRAT. Він націлений на Windows через фальшиву версію мережевого адміністративного інструменту Tftpd64.

Згідно з LevelBlue, EtherRAT приховує Node.js всередині фальшивого інсталятора, забезпечує його залишання на комп’ютері через реєстр Windows і використовує PowerShell для перевірки системи.

EtherRAT спочатку націлювався на Linux. Тепер він приносить трюки з шкідливим ПЗ і крадіжкою криптовалюти на Windows.

EtherRAT тихо працює у фоновому режимі. Він перевіряє такі речі, як антивірусні засоби, налаштування системи, деталі домену та апаратне забезпечення, перш ніж почати красти.

Згідно з недавнім звітом Cryptopolitan, за останні 24 години було знято з обігу понад 500 гаманців Ethereum. Зловмисник зібрав понад $800K у криптоактивах і потім обміняв їх через ThorChain.

Багато з знятих гаманців були неактивними понад 7 років, згідно з дослідженням на блокчейні Wazz. Зняті кошти були спрямовані з одного гаманця, контрольованого зловмисником.

Дослідники з кібербезпеки радять користувачам, які підключають гаманці до невідомих сайтів, перевіряти домен, читати деталі транзакцій перед підписанням і видаляти будь-які необмежені дозволи на токени.

Якщо ви це читаєте, ви вже на крок попереду. Залишайтеся з нашим розсилкою.