StepDrainer leert Krypto-Wallets über mehr als 20 Netzwerke

Ein Krypto-Diebstahl-Tool namens StepDrainer entzieht Wallets in Ethereum, BNB Chain, Arbitrum, Polygon und mindestens 17 anderen Netzwerken Geld.

StepDrainer fungiert als Malware-as-a-Service-Kit. Es verwendet gefälschte, aber realistische Web3-Wallet-Popups, um Menschen dazu zu bringen, Überweisungen zu genehmigen. Einige dieser Bildschirme sehen aus wie Web3Modal-Wallet-Verbindungen.

Sobald jemand sein Wallet verbindet, sucht StepDrainer zuerst nach den wertvollsten Token und sendet sie laut LevelBlue automatisch an Wallets, die von den Angreifern kontrolliert werden.

StepDrainer missbraucht intelligente Vertragstools

StepDrainer missbraucht echte Smart-Contract-Tools wie Seaport und Permit v2, um Pop-ups zur Wallet-Genehmigung anzuzeigen, die normal aussehen. Aber die Details in diesen Pop-ups sind gefälscht.

In einem Fall stellten Cybersicherheitsforscher fest, dass Opfer eine gefälschte Nachricht sahen, dass sie „+500 USDT“ erhielten, was die Genehmigung als sicher erscheinen ließ.

StepDrainer lädt seinen schädlichen Code durch sich ändernde Skripte und erhält seine Einrichtung von dezentralen On-Chain-Konten.

Dieses Setup hilft den Angreifern, normale Sicherheitstools zu umgehen, da der schädliche Code nicht an einem festen Ort gespeichert wird, an dem er leicht gescannt werden kann.

StepDrainer ist nicht nur das Projekt einer einzelnen Person. Forscher sagten, dass es einen entwickelten Untergrundmarkt gibt, auf dem fertige Drainer-Kits verkauft werden, was es vielen Angreifern erleichtert, den von ihnen bereits durchgeführten Betrügereien Funktionen zum Diebstahl von Geldbörsen hinzuzufügen.

EtherRAT saugt Krypto von Windows-Benutzern ab

Forscher fanden neben StepDrainer auch eine weitere Malware namens EtherRAT. Es zielt über eine gefälschte Version des Tftpd64-Netzwerkadministrationstools auf Windows ab.

Laut LevelBlue versteckt EtherRAT Node.js in einem gefälschten Installationsprogramm, stellt über die Windows-Registrierung sicher, dass es auf dem Computer verbleibt, und verwendet PowerShell, um das System zu überprüfen.

EtherRAT zielte zunächst auf Linux ab. Jetzt bringt es Malware-Tricks und Kryptodiebstahl nach Windows.

EtherRAT läuft leise im Hintergrund. Es überprüft Dinge wie Antiviren-Tools, Systemeinstellungen, Domänendetails und Hardware, bevor es mit dem Diebstahl beginnt.

Laut einem aktuellen Bericht von Cryptopolitan wurden in den letzten 24 Stunden über 500 Ethereum-Wallets geleert. Der Angreifer erbeutete mehr als 800.000 US-Dollar an Krypto-Vermögenswerten und tauschte die Gelder dann über ThorChain aus.

Laut der On-Chain-Forschung Wazz sind viele der geleerten Wallets seit über sieben Jahren inaktiv. Die abgezogenen Gelder wurden über eine einzige Wallet-Adresse geleitet, die vom Angreifer kontrolliert wurde.

Cybersicherheitsforscher raten Benutzern, Wallets mit unbekannten Websites zu verbinden, die Domain zu überprüfen, die Transaktionsdetails vor dem Signieren zu lesen und alle unbegrenzten Token-Genehmigungen zu entfernen.