StepDrainer draine les portefeuilles cryptographiques sur +20 réseaux

Un outil de vol de crypto appelé StepDrainer draine de l'argent des portefeuilles d'Ethereum, de BNB Chain, d'Arbitrum, de Polygon et d'au moins 17 autres réseaux.

StepDrainer fonctionne comme un kit de malware en tant que service. Il utilise des fenêtres contextuelles de portefeuille Web3 fausses mais réalistes pour inciter les gens à approuver les transferts. Certains de ces écrans sont conçus pour ressembler à des connexions de portefeuille Web3Modal.

Une fois que quelqu'un connecte son portefeuille, StepDrainer recherche d'abord les jetons les plus précieux et les envoie automatiquement aux portefeuilles contrôlés par les attaquants, selon LevelBlue.

StepDrainer abuse des outils de contrats intelligents

StepDrainer utilise à mauvais escient de véritables outils de contrats intelligents tels que Seaport et Permit v2 pour afficher des fenêtres contextuelles d'approbation de portefeuille qui semblent normales. Mais les détails contenus dans ces fenêtres contextuelles sont faux.

Dans un cas, des chercheurs en cybersécurité ont découvert que les victimes avaient vu un faux message indiquant qu'elles recevaient « +500 USDT », ce qui donnait l'impression que l'approbation était sûre.

StepDrainer charge son code nuisible en modifiant des scripts et obtient sa configuration à partir de comptes décentralisés en chaîne.

Cette configuration aide les attaquants à éviter les outils de sécurité normaux, car le code nuisible n'est pas stocké dans un endroit fixe où il peut être facilement analysé.

StepDrainer n’est pas le projet d’une seule personne. Les chercheurs ont déclaré qu'il existe un marché souterrain développé vendant des kits de drainage prêts à l'emploi, ce qui permet à de nombreux attaquants d'ajouter plus facilement des fonctionnalités de vol de portefeuille aux escroqueries qu'ils mènent déjà.

EtherRAT siphonne la crypto des utilisateurs Windows

Les chercheurs ont également découvert un autre malware outre StepDrainer, appelé EtherRAT. Il cible Windows via une fausse version de l'outil d'administration réseau Tftpd64.

Selon LevelBlue, EtherRAT cache Node.js dans un faux programme d'installation, s'assure qu'il reste sur l'ordinateur via le registre Windows et utilise PowerShell pour vérifier le système.

EtherRAT a d'abord ciblé Linux. Il apporte désormais des astuces de logiciels malveillants et de vol de cryptographie à Windows.

EtherRAT fonctionne silencieusement en arrière-plan. Il vérifie des éléments tels que les outils antivirus, les paramètres système, les détails du domaine et le matériel avant de commencer à voler.

Selon un récent rapport Cryptopolitan, plus de 500 portefeuilles Ethereum ont été vidés au cours des dernières 24 heures. L’attaquant a siphonné plus de 800 000 $ d’actifs cryptographiques, puis a échangé les fonds via ThorChain.

Selon la recherche en chaîne Wazz, la plupart des portefeuilles épuisés sont inactifs depuis plus de 7 ans. Les fonds drainés étaient dirigés vers une seule adresse de portefeuille contrôlée par l'attaquant.

Les chercheurs en cybersécurité conseillent aux utilisateurs connectant des portefeuilles à des sites inconnus de vérifier le domaine, de lire les détails de la transaction avant de signer et de supprimer toute approbation de jeton illimitée.