StepDrainer menguras dompet kripto di lebih dari 20 jaringan

Alat pencuri kripto bernama StepDrainer sedang menguras uang dari dompet di seluruh Ethereum, BNB Chain, Arbitrum, Polygon, dan setidaknya 17 jaringan lainnya.

StepDrainer beroperasi sebagai kit malware sebagai layanan. Ia menggunakan pop-up dompet Web3 palsu tetapi realistis untuk menipu orang agar menyetujui transfer. Beberapa layar tersebut dibuat agar terlihat seperti koneksi dompet Web3Modal.

Setelah seseorang menghubungkan dompet mereka, StepDrainer mencari token paling berharga terlebih dahulu dan secara otomatis mengirimkannya ke dompet yang dikendalikan oleh penyerang, menurut LevelBlue.

StepDrainer menyalahgunakan alat kontrak pintar

StepDrainer menyalahgunakan alat kontrak pintar nyata seperti Seaport dan Permit v2 untuk menampilkan pop-up persetujuan dompet yang terlihat normal. Tetapi rincian di dalam pop-up tersebut palsu.

Dalam satu kasus, peneliti keamanan siber menemukan bahwa korban melihat pesan palsu yang mengatakan mereka menerima “+500 USDT,” membuat persetujuan tersebut tampak aman.

StepDrainer memuat kode berbahayanya melalui perubahan skrip dan mendapatkan pengaturannya dari akun on-chain terdesentralisasi.

Pengaturan tersebut membantu penyerang menghindari alat keamanan biasa karena kode berbahaya tidak disimpan di satu tempat tetap yang dapat dengan mudah dipindai.

StepDrainer bukan hanya proyek satu orang. Peneliti mengatakan ada pasar bawah tanah yang berkembang menjual kit pencuri siap pakai, memudahkan banyak penyerang menambahkan fitur pencurian dompet ke penipuan yang sudah mereka jalankan.

EtherRAT menyedot kripto dari pengguna Windows

Peneliti juga menemukan malware lain selain StepDrainer, bernama EtherRAT. Malware ini menargetkan Windows melalui versi palsu dari alat admin jaringan Tftpd64.

Menurut LevelBlue, EtherRAT menyembunyikan Node.js di dalam installer palsu, memastikan tetap ada di komputer melalui registry Windows, dan menggunakan PowerShell untuk memeriksa sistem.

EtherRAT pertama kali menargetkan Linux. Sekarang ia membawa trik malware dan pencurian kripto ke Windows.

EtherRAT berjalan diam-diam di latar belakang. Ia memeriksa hal-hal seperti alat antivirus, pengaturan sistem, detail domain, dan perangkat keras sebelum mulai mencuri.

Menurut laporan terbaru Cryptopolitan, lebih dari 500 dompet Ethereum telah dikuras dalam 24 jam terakhir. Penyerang menyedot lebih dari $800K dalam aset kripto dan kemudian menukar dana tersebut melalui ThorChain.

Banyak dompet yang dikuras telah tidak aktif selama lebih dari 7 tahun, menurut penelitian on-chain Wazz. Dana yang dikuras diarahkan oleh satu alamat dompet yang dikendalikan oleh penyerang.

Peneliti keamanan siber menyarankan pengguna yang menghubungkan dompet ke situs yang tidak dikenal untuk memverifikasi domain, membaca rincian transaksi sebelum menandatangani, dan menghapus persetujuan token tanpa batas apa pun.

Jika Anda membaca ini, Anda sudah selangkah lebih maju. Tetaplah di sana dengan buletin kami.