StepDrainer истощает криптошлюзы по более чем 20 сетям

Инструмент для кражи криптовалюты под названием StepDrainer выводит деньги из кошельков по всему Ethereum, BNB Chain, Arbitrum, Polygon и как минимум 17 других сетей.

StepDrainer работает как набор вредоносного программного обеспечения по модели malware-as-a-service. Он использует фальшивые, но реалистичные всплывающие окна Web3-кошельков, чтобы обмануть людей и заставить их одобрить переводы. Некоторые из этих экранов сделаны так, чтобы выглядеть как подключения кошельков через Web3Modal.

Как только кто-то подключает свой кошелек, StepDrainer сначала ищет самые ценные токены и автоматически отправляет их на кошельки, контролируемые злоумышленниками, согласно LevelBlue.

StepDrainer неправомерно использует инструменты умных контрактов

StepDrainer неправомерно использует реальные инструменты умных контрактов, такие как Seaport и Permit v2, чтобы показывать всплывающие окна одобрения кошелька, которые выглядят нормально. Но детали внутри этих окон поддельные.

В одном случае исследователи кибербезопасности обнаружили, что жертвы видели фальшивое сообщение о получении «+500 USDT», что делало одобрение безопасным.

StepDrainer загружает свой вредоносный код через изменение скриптов и получает свою настройку из децентрализованных аккаунтов в блокчейне.

Эта настройка помогает злоумышленникам обходить обычные средства безопасности, потому что вредоносный код не хранится в одном фиксированном месте, где его легко можно просканировать.

StepDrainer — это не проект одного человека. Исследователи сообщили, что существует развитый подпольный рынок, продающий готовые наборы для кражи, что облегчает многим злоумышленникам добавлять функции по краже кошельков в уже существующие мошеннические схемы.

EtherRAT выводит криптовалюту с пользователей Windows

Исследователи также обнаружили еще одно вредоносное ПО, помимо StepDrainer, под названием EtherRAT. Оно нацелено на Windows через поддельную версию инструмента для сетевого администрирования Tftpd64.

По словам LevelBlue, EtherRAT скрывает Node.js внутри поддельного установщика, обеспечивает его сохранение на компьютере через реестр Windows и использует PowerShell для проверки системы.

EtherRAT сначала нацеливался на Linux. Теперь он переносит трюки с вредоносным ПО и кражей криптовалюты на Windows.

EtherRAT тихо работает в фоновом режиме. Он проверяет такие вещи, как антивирусные инструменты, настройки системы, детали домена и оборудование, прежде чем начать кражу.

По последнему отчету Cryptopolitan, за последние 24 часа было выведено из обращения более 500 кошельков Ethereum. Злоумышленник вывел более $800K в криптоактивах и затем обменял средства через ThorChain.

Многие из выведенных кошельков были неактивны более 7 лет, согласно исследованию в блокчейне Wazz. Выведенные средства были направлены с одного кошелька, контролируемого злоумышленником.

Исследователи кибербезопасности советуют пользователям, подключающим кошельки к неизвестным сайтам, проверять домен, читать детали транзакции перед подписанием и удалять любые неограниченные разрешения на токены.

Если вы читаете это, вы уже на шаг впереди. Оставайтесь с нашим информационным бюллетенем.