StepDrainer drena carteras criptográficas en más de 20 redes
Una herramienta de robo de criptomonedas llamada StepDrainer está drenando dinero de billeteras en Ethereum, BNB Chain, Arbitrum, Polygon y al menos otras 17 redes.
StepDrainer funciona como un kit de malware como servicio. Utiliza ventanas emergentes de billetera Web3 falsas pero realistas para engañar a las personas para que aprueben transferencias. Algunas de esas pantallas están diseñadas para parecerse a conexiones de billetera Web3Modal.
Una vez que alguien conecta su billetera, StepDrainer busca primero los tokens más valiosos y los envía automáticamente a las billeteras controladas por los atacantes, según LevelBlue.
StepDrainer hace un mal uso de las herramientas de contratos inteligentes
StepDrainer hace un mal uso de herramientas de contratos inteligentes reales como Seaport y Permit v2 para mostrar ventanas emergentes de aprobación de billetera que parecen normales. Pero los detalles dentro de esas ventanas emergentes son falsos.
En un caso, los investigadores de ciberseguridad descubrieron que las víctimas vieron un mensaje falso que decía que estaban recibiendo “+500 USDT”, lo que hacía que la aprobación pareciera segura.
StepDrainer carga su código dañino cambiando scripts y obtiene su configuración desde cuentas descentralizadas en cadena.
Esa configuración ayuda a los atacantes a evadir las herramientas de seguridad normales porque el código dañino no se almacena en un lugar fijo donde pueda escanearse fácilmente.
StepDrainer no es el proyecto de una sola persona. Los investigadores dijeron que existe un mercado clandestino desarrollado que vende kits de drenaje ya preparados, lo que facilita a muchos atacantes agregar funciones de robo de billeteras a las estafas que ya ejecutan.
EtherRAT extrae criptomonedas de los usuarios de Windows
Los investigadores también encontraron otro malware además de StepDrainer, llamado EtherRAT. Se dirige a Windows a través de una versión falsa de la herramienta de administración de red Tftpd64.
Según LevelBlue, EtherRAT oculta Node.js dentro de un instalador falso, se asegura de que permanezca en la computadora a través del registro de Windows y usa PowerShell para verificar el sistema.
EtherRAT apuntó por primera vez a Linux. Ahora trae trucos de malware y robo de criptomonedas a Windows.
EtherRAT se ejecuta silenciosamente en segundo plano. Comprueba cosas como herramientas antivirus, configuraciones del sistema, detalles del dominio y hardware antes de comenzar a robar.
Según un informe reciente de Cryptopolitan, más de 500 billeteras Ethereum se han vaciado en las últimas 24 horas. El atacante desvió más de 800.000 dólares en criptoactivos y luego intercambió los fondos a través de ThorChain.
Muchas de las billeteras agotadas han estado inactivas durante más de 7 años, según la investigación en cadena Wazz. Los fondos drenados fueron dirigidos por una única dirección de billetera controlada por el atacante.
Los investigadores de ciberseguridad aconsejan a los usuarios que conectan billeteras a sitios desconocidos que verifiquen el dominio, lean los detalles de la transacción antes de firmar y eliminen cualquier aprobación de token ilimitada.