Krypto-Diebstahl-Malware Inferno Drainer bleibt aktiv
Die Krypto-Diebstahl-Malware Inferno Drainer bleibt trotz einer offiziell verkündeten Stilllegung aktiv und hat in den letzten sechs Monaten über 9 Millionen Dollar aus Krypto-Wallets entwendet. Laut der Cybersicherheitsfirma Check Point Research wurden über 30.000 Krypto-Wallets von der wiederauflebenden Malware-Kampagne betroffen, deren Entwickler im November 2023 behaupteten, ihre Operationen eingestellt zu haben.
Ein Sprecher von CPR teilte Decrypt mit, dass die Zahl auf „Daten basiert, die durch Reverse-Engineering des JavaScript-Codes des Drainers, Dekodierung seiner Konfiguration, die vom Command-and-Control-Server empfangen wurde, sowie durch Analyse seiner On-Chain-Aktivitäten gewonnen wurden.“
Aktive Malware und verbesserte Techniken
Der Großteil der beobachteten Aktivitäten fand auf der Ethereum- und Binance-Chain statt, fügte er hinzu. CPR-Analysten berichteten, dass die im Jahr 2023 eingesetzten Inferno Drainer Smart Contracts bis heute aktiv sind, während die aktuelle Version der Malware offenbar im Vergleich zur vorherigen Iteration verbessert wurde.
Es wird berichtet, dass die Malware jetzt in der Lage ist, einmalige Smart Contracts und On-Chain-verschlüsselte Konfigurationen zu verwenden, was es deutlich schwieriger macht, Angriffe zu erkennen und zu verhindern. Zudem wurde die Kommunikation mit dem Command-and-Control-Server durch proxy-basierte Systeme verschleiert, was die Nachverfolgung zusätzlich erschwert hat.
Phishing-Kampagne gegen Discord-Nutzer
Das Comeback des Inferno Drainers geht Hand in Hand mit einer Phishing-Kampagne, die sich gegen Discord-Nutzer richtet. Laut CPR-Analysten nutzte die Kampagne soziale Ingenieur-Techniken, um Benutzer von einer legitimen Web3-Projekt-Website auf eine gefälschte Seite zu leiten, die die Verifikations-UX des beliebten Discord-Bots Collab.Land imitierte. Die gefälschte Collab.Land-Seite hostete einen Krypto-Drainer, der die Opfer dazu brachte, bösartige Transaktionen zu signieren, wodurch die Angreifer Zugang zu ihren Geldern erhielten.
Durch die Kombination von „gezielter Täuschung und effektiven Techniken des sozialen Engineerings“ hat die Malware-Kampagne einen stabilen finanziellen Fluss generiert, der mithilfe von Blockchain-Transaktionsanalysen identifiziert wurde, erklärten die CPR-Analysten.
Vorsichtsmaßnahmen für Krypto-Nutzer
Krypto-Nutzer wird geraten, besonders vorsichtig zu sein, wenn sie mit unbekannten Plattformen interagieren. Der von CPR identifizierte gefälschte Collab.Land-Bot wies nur „subtile visuelle Unterschiede“ zum legitimen Bot auf, und die Cyberkriminellen hinter dieser Täuschung werden wahrscheinlich „ihre Imitation weiter verfeinern“, so die Forscher.
Da der legitime Collab.Land-Service von den Nutzern verlangt, dass sie ihre Wallets durch Signaturen verifizieren, stellten sie fest:
„Selbst erfahrene Kryptowährungsnutzer könnten ihre Wachsamkeit verringern, wenn sie mit dem gefälschten Bot konfrontiert werden.“
Das macht es umso wichtiger, die Authentizität zu überprüfen, bevor Wallets mit einem Dienst verbunden werden.
Entwicklung in der Malware-Landschaft
Die Wiederbelebung des Inferno Drainers ist nur eine von mehreren Malware-Kampagnen, die in den letzten Monaten aufgetaucht sind. Hacker nutzen zunehmend raffinierte Techniken, um Krypto-stehlende Malware zu verbreiten, indem sie gehackte Mailinglisten, Open-Source-Python-Bibliotheken und sogar das Vorinstallieren von Trojanern auf gefälschten Android-Handys ins Visier nehmen.
