Introduzione al Malware Inferno Drainer
Il malware per il furto di criptovalute Inferno Drainer è rimasto attivo nonostante le dichiarazioni pubbliche di aver cessato le operazioni, e ha rubato oltre 9 milioni di dollari da wallet di criptovalute negli ultimi sei mesi.
Attività e Dati di Furto
Secondo la società di cybersecurity Check Point Research, oltre 30.000 wallet sono stati svuotati dalla rinata campagna malware, il cui team di sviluppo aveva affermato di aver sospeso le operazioni a novembre 2023. Un portavoce di CPR ha dichiarato a Decrypt che la cifra si basa su:
“dati ottenuti mediante reverse engineering del codice JavaScript del drainer, decrittazione della sua configurazione ricevuta dal server di comando e controllo, e analisi della sua attività on-chain.”
La maggior parte delle osservazioni sono state effettuate su Ethereum e Binance Chain.
Evoluzione del Malware
Gli analisti di CPR hanno riportato che i contratti smart di Inferno Drainer implementati nel 2023 sono ancora attivi, mentre la versione attuale del malware sembra essere stata migliorata rispetto a quella precedente. Si segnala che il malware è ora:
- In grado di utilizzare contratti smart a uso singolo.
- In grado di gestire configurazioni criptate on-chain.
- Utilizzare comunicazioni offuscate tramite sistemi basati su proxy, rendendo il tracciamento molto più complicato.
Campagna di Phishing
La resurrezione di Inferno Drainer avviene anche insieme a una campagna di phishing che prende di mira gli utenti di Discord. Secondo gli analisti di CPR, la campagna ha sfruttato tecniche di ingegneria sociale per:
- Reindirizzare gli utenti dal sito di un progetto Web3 legittimo a un sito contraffatto.
- Inganare le vittime inducendole a firmare transazioni malevole.
“Combinando inganno mirato e tattiche di ingegneria sociale efficaci, la campagna malware ha generato un flusso finanziario stabile, identificato attraverso l’analisi delle transazioni blockchain.”
Raccomandazioni di Sicurezza
Si consiglia agli utenti di criptovalute di esercitare particolare cautela ogni volta che interagiscono con piattaforme poco familiari. Il falso bot Collab.Land identificato da CPR presentava solo sottili differenze visive rispetto al bot legittimo. I criminali informatici sono probabilmente intenzionati a:
- Continuare a perfezionare la loro imitazione.
Poiché il servizio legittimo Collab.Land richiede di verificare il proprio wallet firmando, si avverte che anche gli utenti esperti potrebbero abbassare la guardia, rendendo ancora più cruciale verificare l’autenticità di qualsiasi servizio prima di connettere i wallet.
Conclusione
La rinascita di Inferno Drainer è solo una delle numerose campagne malware emerse negli ultimi mesi. Gli hacker stanno adottando tecniche sempre più sofisticate per distribuire malware per il furto di criptovalute, prendendo di mira liste di posta elettronica violate, librerie Python open-source e persino caricando Trojan su telefoni Android contraffatti.
