يقوم StepDrainer باستنزاف محافظ العملات المشفرة عبر أكثر من 20 شبكة

تقوم أداة لسرقة العملات المشفرة تسمى StepDrainer باستنزاف الأموال من المحافظ عبر Ethereum وBNB Chain وArbitrum وPolygon وما لا يقل عن 17 شبكة أخرى.

يعمل StepDrainer كمجموعة برامج ضارة كخدمة. ويستخدم نوافذ منبثقة وهمية ولكنها واقعية لمحفظة Web3 لخداع الأشخاص للموافقة على عمليات النقل. تم تصميم بعض هذه الشاشات لتبدو وكأنها اتصالات محفظة Web3Modal.

بمجرد أن يقوم شخص ما بربط محفظته، يبحث StepDrainer عن الرموز المميزة الأكثر قيمة أولاً ويرسلها تلقائيًا إلى المحافظ التي يتحكم فيها المهاجمون، وفقًا لما ذكره LevelBlue.

يسيء StepDrainer استخدام أدوات العقود الذكية

يسيء تطبيق StepDrainer استخدام أدوات العقود الذكية الحقيقية مثل Seaport وPermit v2 لإظهار النوافذ المنبثقة الخاصة بالموافقة على المحفظة والتي تبدو طبيعية. لكن التفاصيل الموجودة داخل تلك النوافذ المنبثقة مزيفة.

وفي إحدى الحالات، وجد باحثو الأمن السيبراني أن الضحايا رأوا رسالة مزيفة تفيد أنهم يتلقون "+500 دولار أمريكي"، مما يجعل الموافقة تبدو آمنة.

يقوم StepDrainer بتحميل التعليمات البرمجية الضارة الخاصة به من خلال تغيير البرامج النصية ويحصل على إعداده من حسابات لا مركزية على السلسلة.

يساعد هذا الإعداد المهاجمين على تفادي أدوات الأمان العادية لأن التعليمات البرمجية الضارة لا يتم تخزينها في مكان واحد ثابت حيث يمكن فحصها بسهولة.

StepDrainer ليس مجرد مشروع لشخص واحد. قال الباحثون إن هناك سوقًا سريًا متطورًا يبيع مجموعات تجفيف جاهزة، مما يسهل على العديد من المهاجمين إضافة ميزات سرقة المحفظة إلى عمليات الاحتيال التي يقومون بها بالفعل.

يقوم EtherRAT بسحب التشفير من مستخدمي Windows

كما عثر الباحثون أيضًا على برنامج ضار آخر إلى جانب StepDrainer، يُسمى EtherRAT. إنه يستهدف Windows من خلال إصدار مزيف من أداة إدارة الشبكة Tftpd64.

وفقًا لـ LevelBlue، يقوم EtherRAT بإخفاء Node.js داخل برنامج تثبيت مزيف، والتأكد من بقائه على الكمبيوتر من خلال سجل Windows، ويستخدم PowerShell للتحقق من النظام.

استهدف EtherRAT نظام Linux أولاً. وهي الآن تقدم حيل البرامج الضارة وسرقة العملات المشفرة إلى نظام التشغيل Windows.

يعمل EtherRAT بهدوء في الخلفية. فهو يتحقق من أشياء مثل أدوات مكافحة الفيروسات وإعدادات النظام وتفاصيل المجال والأجهزة قبل أن يبدأ في السرقة.

وفقًا لتقرير Cryptopolitan الأخير، تم استنزاف أكثر من 500 محفظة إيثريوم خلال الـ 24 ساعة الماضية. قام المهاجم بسحب أكثر من 800 ألف دولار من الأصول المشفرة ثم قام بتبادل الأموال عبر ThorChain.

ظلت العديد من المحافظ المستنزفة غير نشطة لأكثر من 7 سنوات، وفقًا لأبحاث Wazz على السلسلة. تم توجيه الأموال المستنزفة من خلال عنوان محفظة واحد يتحكم فيه المهاجم.

ينصح باحثو الأمن السيبراني المستخدمين بربط المحافظ بمواقع غير معروفة للتحقق من المجال، وقراءة تفاصيل المعاملة قبل التوقيع، وإزالة أي موافقات رمزية غير محدودة.