StepDrainer опустошает криптокошельки в +20 сетях
Инструмент для кражи криптовалют под названием StepDrainer выкачивает деньги из кошельков Ethereum, BNB Chain, Arbitrum, Polygon и как минимум 17 других сетей.
StepDrainer работает как комплект «вредоносное ПО как услуга». Он использует поддельные, но реалистичные всплывающие окна кошелька Web3, чтобы обманом заставить людей одобрить переводы. Некоторые из этих экранов выглядят как соединения с кошельком Web3Modal.
По данным LevelBlue, как только кто-то подключает свой кошелек, StepDrainer сначала ищет наиболее ценные токены и автоматически отправляет их на кошельки, контролируемые злоумышленниками.
StepDrainer злоупотребляет инструментами смарт-контрактов
StepDrainer неправильно использует настоящие инструменты смарт-контрактов, такие как Seaport и Permit v2, чтобы показывать всплывающие окна с одобрением кошелька, которые выглядят нормально. Но детали внутри этих всплывающих окон являются фейковыми.
В одном случае исследователи кибербезопасности обнаружили, что жертвы видели фальшивое сообщение о том, что они получают «+500 долларов США», что делает одобрение безопасным.
StepDrainer загружает свой вредоносный код посредством изменения скриптов и получает настройки из децентрализованных учетных записей в сети.
Такая настройка помогает злоумышленникам уклоняться от обычных инструментов безопасности, поскольку вредоносный код не хранится в одном фиксированном месте, где его можно легко просканировать.
StepDrainer — это не просто проект одного человека. Исследователи говорят, что существует развитый подпольный рынок, где продаются готовые комплекты для слива, что позволяет многим злоумышленникам легко добавлять функции кражи кошелька к уже реализованным ими аферам.
EtherRAT выкачивает криптовалюту у пользователей Windows
Помимо StepDrainer, исследователи также обнаружили еще одно вредоносное ПО под названием EtherRAT. Он нацелен на Windows через поддельную версию инструмента сетевого администратора Tftpd64.
По данным LevelBlue, EtherRAT скрывает Node.js внутри поддельного установщика, обеспечивает его сохранение на компьютере через реестр Windows и использует PowerShell для проверки системы.
EtherRAT изначально предназначался для Linux. Теперь он привносит в Windows трюки с вредоносным ПО и кражу криптовалюты.
EtherRAT спокойно работает в фоновом режиме. Прежде чем начать воровать, он проверяет такие вещи, как антивирусные инструменты, настройки системы, сведения о домене и оборудование.
Согласно недавнему отчету Cryptopolitan, за последние 24 часа было опустошено более 500 кошельков Ethereum. Злоумышленник выкачал более 800 тысяч долларов в виде криптоактивов, а затем обменял средства через ThorChain.
По данным исследования цепочки Wazz, многие из опустошенных кошельков неактивны более 7 лет. Слитые средства были направлены на один адрес кошелька, контролируемый злоумышленником.
Исследователи кибербезопасности советуют пользователям, подключающим кошельки к неизвестным сайтам, проверять домен, читать детали транзакции перед подписанием и удалять любые одобрения неограниченных токенов.