StepDrainer +20 نیٹ ورکس میں کرپٹو بٹوے نکالتا ہے۔

StepDrainer نامی ایک کرپٹو اسٹیلنگ ٹول Ethereum، BNB Chain، Arbitrum، Polygon، اور کم از کم 17 دیگر نیٹ ورکس کے بٹوے سے رقم نکال رہا ہے۔

StepDrainer ایک مالویئر کے طور پر ایک سروس کٹ کے طور پر کام کرتا ہے۔ یہ نقلی لیکن حقیقت پسندانہ Web3 والیٹ پاپ اپس کا استعمال کرتا ہے تاکہ لوگوں کو ٹرانسفر کی منظوری دلوانے کے لیے پھنسایا جا سکے۔ ان میں سے کچھ اسکرینیں Web3Modal والیٹ کنکشن کی طرح دکھائی دیتی ہیں۔

LevelBlue کے مطابق، ایک بار جب کوئی اپنے بٹوے کو جوڑتا ہے، StepDrainer پہلے سب سے قیمتی ٹوکنز تلاش کرتا ہے اور خود بخود انہیں حملہ آوروں کے زیر کنٹرول بٹوے میں بھیج دیتا ہے۔

StepDrainer سمارٹ کنٹریکٹ ٹولز کا غلط استعمال کرتا ہے۔

سٹیپ ڈرینر اصلی سمارٹ کنٹریکٹ ٹولز کا غلط استعمال کرتا ہے جیسے سی پورٹ اور پرمٹ v2 والیٹ کی منظوری کے پاپ اپس کو دکھانے کے لیے جو نارمل نظر آتے ہیں۔ لیکن ان پاپ اپس کے اندر کی تفصیلات جعلی ہیں۔

ایک معاملے میں، سائبر سیکیورٹی کے محققین نے پایا کہ متاثرین نے ایک جعلی پیغام دیکھا جس میں کہا گیا تھا کہ وہ "+500 USDT" وصول کر رہے ہیں، جس سے منظوری محفوظ نظر آتی ہے۔

StepDrainer اسکرپٹس کو تبدیل کرنے کے ذریعے اپنا نقصان دہ کوڈ لوڈ کرتا ہے اور اس کا سیٹ اپ ڈی سینٹرلائزڈ آن چین اکاؤنٹس سے حاصل کرتا ہے۔

یہ سیٹ اپ حملہ آوروں کو عام حفاظتی ٹولز سے بچنے میں مدد کرتا ہے کیونکہ نقصان دہ کوڈ کو ایک مقررہ جگہ پر محفوظ نہیں کیا جاتا ہے جہاں اسے آسانی سے اسکین کیا جا سکتا ہے۔

StepDrainer صرف ایک شخص کا پروجیکٹ نہیں ہے۔ محققین نے کہا کہ ایک تیار شدہ زیر زمین مارکیٹ ہے جو تیار شدہ ڈرینر کٹس فروخت کرتی ہے، جس سے بہت سے حملہ آوروں کے لیے پرس چوری کرنے والی خصوصیات کو ان کے پہلے سے چلائے جانے والے گھوٹالوں میں شامل کرنا آسان ہو جاتا ہے۔

EtherRAT ونڈوز کے صارفین کی طرف سے کرپٹو کا استعمال کرتا ہے۔

محققین کو StepDrainer کے علاوہ ایک اور میلویئر بھی ملا، جسے EtherRAT کہتے ہیں۔ یہ Tftpd64 نیٹ ورک ایڈمن ٹول کے جعلی ورژن کے ذریعے ونڈوز کو نشانہ بناتا ہے۔

LevelBlue کے مطابق، EtherRAT Node.js کو جعلی انسٹالر کے اندر چھپاتا ہے، اس بات کو یقینی بناتا ہے کہ یہ ونڈوز رجسٹری کے ذریعے کمپیوٹر پر موجود رہے، اور سسٹم کو چیک کرنے کے لیے PowerShell کا استعمال کرتا ہے۔

EtherRAT نے پہلے لینکس کو نشانہ بنایا۔ اب یہ ونڈوز میں میلویئر ٹرکس اور کرپٹو چوری لا رہا ہے۔

EtherRAT خاموشی سے پس منظر میں چلتا ہے۔ یہ چوری شروع ہونے سے پہلے اینٹی وائرس ٹولز، سسٹم سیٹنگز، ڈومین کی تفصیلات اور ہارڈ ویئر جیسی چیزوں کو چیک کرتا ہے۔

ایک حالیہ کرپٹو پولیٹن رپورٹ کے مطابق، گزشتہ 24 گھنٹوں میں 500 سے زیادہ ایتھریم بٹوے نکالے گئے ہیں۔ حملہ آور نے کرپٹو اثاثوں میں $800K سے زیادہ کی رقم چھین لی اور پھر ThorChain کے ذریعے فنڈز کا تبادلہ کیا۔

آن چین ریسرچ Wazz کے مطابق، بہت سے پرس 7 سالوں سے غیر فعال ہیں۔ نکالے گئے فنڈز کو ایک ہی بٹوے کے ایڈریس کے ذریعے ڈائریکٹ کیا گیا تھا جسے حملہ آور نے کنٹرول کیا تھا۔

سائبرسیکیوریٹی کے محققین ڈومین کی تصدیق کے لیے بٹوے کو نامعلوم سائٹوں سے جوڑنے والے صارفین کو مشورہ دیتے ہیں، دستخط کرنے سے پہلے لین دین کی تفصیلات پڑھیں، اور لامحدود ٹوکن منظوریوں کو ہٹا دیں۔