Golpistas usam o Inferno Drainer para roubar US$ 43 mil de usuários do CoinMarketCap

Uma operação coordenada de roubo de criptomoedas visando usuários do CoinMarketCap foi exposta após o vazamento de imagens de um canal do Telegram conhecido como TheCommsLeaks. O ataque utilizou um prompt de conexão de carteira convincente incorporado na própria interface do CoinMarketCap, enganando os usuários e fazendo-os ceder o acesso às suas carteiras. O resultado? Mais de US$ 43.000 em fundos de criptomoedas foram perdidos em poucas horas.

De acordo com Tammy H, pesquisadora sênior de inteligência de ameaças e investigadora certificada da Dark Web na Flare.io, uma empresa canadense de inteligência de crimes cibernéticos, o ataque foi realizado usando o Inferno Drainer , um conhecido kit de ferramentas para drenar carteiras que foi vinculado a campanhas anteriores.

O método era simples, mas eficaz. Usuários que visitavam o CoinMarketCap recebiam um prompt solicitando que "Verificassem sua Carteira" para acessar os recursos. Parecia idêntico aos pop-ups legítimos vistos na plataforma, não dando aos usuários motivos para duvidar. No entanto, uma vez conectadas, as carteiras eram silenciosamente esvaziadas de quaisquer ativos que possuíssem.

Uma fonte citada no vazamento afirmou que o prompt aparecia em quase todas as páginas do site. "Coloque-o onde ele aparece em todas as páginas", dizia uma mensagem. "A maioria das pessoas tem moedas fixadas... no segundo em que renderizam o site."

O invasor parecia focado em aumentar a visibilidade e maximizar as conexões com a carteira. Alguns relatos sugerem que até mesmo o botão de conexão começou a apresentar problemas devido à renderização excessiva.

De acordo com a análise de Tommy H, o canal do Telegram TheCommsLeaks começou a compartilhar detalhes por volta das 19h30, horário local, do dia 20 de junho. As mensagens incluíam capturas de tela mostrando um painel em tempo real usado pelo invasor. Essas imagens exibiam conexões de carteira, transferências de tokens e valores totais drenados em tempo real.

Os primeiros números mostraram 67 ataques bem-sucedidos e mais de 1.300 conexões com a carteira. O pagamento já havia ultrapassado US$ 21.000 na primeira onda. Ao final da campanha, o valor final havia subido para US$ 43.266, retirado de 110 vítimas.

Os tokens desviados incluíam SOL, XRP, EVT e moedas menores como PENGU e SHDW. Uma transação envolvendo US$ 1.769 em XRP foi vinculada a uma carteira visível no BscScan, oferecendo confirmação pública do roubo.

No entanto, o pesquisador observou que nem todas as tentativas foram bem-sucedidas. Os registros do kit de ferramentas do invasor também mostraram múltiplas tentativas de drenagem malsucedidas, geralmente devido a carteiras com tokens não suportados ou saldos insignificantes.

Após crescentes especulações sobre se o ataque teria vindo de um domínio falsificado, a CoinMarketCap abordou a questão diretamente. Em um comunicado publicado no X, a empresa afirmou que uma imagem de doodle exibida em sua página inicial havia acionado um código malicioso por meio de uma chamada de API incorporada. Essa vulnerabilidade fez com que o prompt de carteira não autorizada fosse exibido para alguns usuários.

A empresa confirmou que sua equipe de segurança respondeu imediatamente após detectar o problema. O conteúdo malicioso foi removido e os sistemas internos foram corrigidos para evitar novos abusos.

“Todos os sistemas estão agora totalmente operacionais e o CoinMarketCap está seguro e protegido para todos os usuários”, declarou a empresa, acrescentando que continua monitorando a situação e fornecendo suporte.

Este incidente demonstra como pequenas mudanças na interface, mesmo aquelas envolvendo algo tão inofensivo quanto um rabisco na página inicial, podem ser aproveitadas para causar danos em larga escala. Embora o uso do próprio ambiente de uma plataforma legítima para implantar avisos maliciosos seja extremamente preocupante, ele reflete a facilidade com que a confiança em interfaces familiares pode ser abusada.

Em um incidente separado relatado pelo Hackread na semana passada, golpistas exploraram anúncios de busca para induzir usuários a ligar para números de suporte falsos exibidos em sites reais como Apple e PayPal. Embora tecnicamente não relacionados, ambos os casos mostram como os invasores se baseiam em suposições dos usuários sobre o que é seguro interagir online.

Por enquanto, recomenda-se que os usuários evitem conectar carteiras diretamente por meio de pop-ups e verifiquem qualquer solicitação de acordo com as diretrizes oficiais da plataforma. Se algo parece familiar, isso nem sempre significa que é seguro.