加密盜竊惡意軟體Inferno Drainer持續運作,儘管公開宣佈停止運作,並在過去六個月內從加密錢包中竊取超過900萬美元。
根據網路安全公司Check Point Research的報告,超過30,000個加密錢包已被這一復甦的惡意軟體攻擊所清空,其開發者聲稱已於2023年11月停止運作。
CPR的一位發言人告訴Decrypt,該數據是基於「從惡意軟體的JavaScript代碼反向工程獲得的數據、從C&C伺服器解密其配置及分析其鏈上活動」得出的。他們補充道,觀察到的活動大多發生在Ethereum和Binance Chain上。
CPR分析師報告指出,2023年部署的Inferno Drainer智能合約至今仍然活躍,而目前版本的惡意軟體似乎對先前的版本進行了改進。
據報導,該惡意軟體現在能夠使用一次性智能合約和鏈上加密配置,這使得檢測和防止攻擊變得更加困難。此外,命令和控制伺服器的通信已通過代理系統進行了混淆,這意味著追踪變得更加困難。
Inferno Drainer的復甦伴隨著針對Discord用戶的釣魚活動。根據CPR分析師的說法,該活動利用社會工程技術將用戶從一個合法的Web3項目網站重定向到一個模仿流行Discord機器人Collab.Land驗證用戶體驗的假網站。這個假Collab.Land網站托管了一個加密貨幣盜竊器,該盜竊器設法欺騙受害者簽署惡意交易,使攻擊者能夠獲取他們的資金。
CPR分析師表示,通過結合「針對性的欺騙和有效的社會工程策略」,該惡意軟體活動已經產生了「通過區塊鏈交易分析識別的穩定財務流」。
建議加密用戶在與不熟悉的平台互動時格外謹慎。CPR識別的假Collab.Land機器人僅與合法機器人「有微妙的視覺差異」,而進行這一欺騙的網路犯罪分子可能會「持續完善他們的模仿」,研究人員表示。
因為合法的Collab.Land服務要求用戶通過簽名來驗證他們的錢包,他們指出,「即使是經驗豐富的加密貨幣用戶在面對假機器人時也可能會降低警惕」——這使得在將錢包連接到任何服務之前驗證真實性變得更加重要。
Inferno Drainer的復甦只是最近幾個月出現的多個惡意軟體活動之一。黑客正在採用越來越複雜的技術來交付加密盜竊惡意軟體,目標包括被黑客攻擊的郵件列表、開源Python庫甚至在假冒的Android手機上預載木馬程式。