Durante un año entre 2022 y 2023, los operadores detrás del cerrado Inferno Drainer crearon más de 16.000 dominios maliciosos únicos para estafar a más de 137.000 víctimas y ganar más de $87 millones en ganancias ilícitas. La empresa de ciberseguridad Group-IB, con sede en Singapur, compartió un informe detallando cómo el plan se basaba en páginas phishing de alta calidad que atraían a usuarios desprevenidos para conectar sus billeteras de criptomonedas con la infraestructura de los atacantes que simulaba los protocolos de Web3. Esto autorizaba transacciones fraudulentas sin que las víctimas se dieran cuenta.
Inferno Drainer es un ejemplo de «fraudes como servicio», uno de una variedad de ofertas y servicios similares disponibles para afiliados para recibir un 20% por sus ganancias. Los clientes podían subir el malware a sus propios sitios de phishing o usar el servicio del desarrollador para crear y alojar sitios web de phishing. Además, se simularon más de 100 marcas de criptomonedas mediante la creación de páginas especiales hospedadas en más de 16.000 dominios únicos.
Las páginas de phishing de Inferno Drainer fueron diseñadas para ocultar sus scripts y actividades ilegales a sus víctimas, lo que dificultaba la detección. Los nombres utilizados, como seaport.js, coinbase.js y wallet-connect.js, pretendían simular protocolos Web3 populares como Seaport, WalletConnect y Coinbase para completar transacciones no autorizadas.
Más de 500 sitios web de phishing descubiertos durante la operación se alojaron en un repositorio de GitHub de «kuzdaz.github[.]io/seaport/seaport.js» y otros 350 en «kasrlorcian.github[.]io/coinbase-wallet-sdk.js».
Los sitios se propagaron en redes sociales como Discord y Twitter con la promesa de tokens gratis o airdrops. Una vez que se aprueban las transacciones, los activos se agotan.
A principios de este mes, la cuenta de X de Mandiant, propiedad de Google, se vio comprometida para distribuir enlaces a una página de phishing que alojaba un drainer de criptomonedas llamado CLINKSINK.
Andrey Kolmakov, jefe del Departamento de Investigación de Crímenes de Alta Tecnología de Group-IB, destaca que aunque Inferno Drainer ha cesado su actividad, su prominencia a lo largo de 2023 destaca los graves riesgos para los titulares de criptomonedas, ya que los drainers continúan desarrollándose. Es importante tener precaución y proteger los detalles de las billeteras de criptomonedas para evitar caer en este tipo de fraudes.