Мошенники используют Inferno Drainer, чтобы украсть 43 тысячи долларов у пользователей CoinMarketCap

Скоординированная операция по краже криптовалюты, нацеленная на пользователей CoinMarketCap, была раскрыта после того, как всплыли изображения из канала Telegram, известного как TheCommsLeaks. Атака использовала убедительную подсказку для подключения кошелька, встроенную в собственный интерфейс CoinMarketCap, обманывая пользователей, чтобы они предоставили доступ к своим кошелькам. Результат? более 43 000 долларов криптовалютных средств были слиты за несколько часов.

По словам Тэмми Х., старшего исследователя по анализу угроз и сертифицированного исследователя Dark Web в канадской компании Flare.io, занимающейся расследованием киберпреступлений, атака была осуществлена ​​с использованием Inferno Drainer — известного инструментария для опустошения кошельков, который был связан с предыдущими кампаниями.

Метод был простым, но эффективным. Пользователям, посещавшим CoinMarketCap, предлагалось «Проверить свой кошелек» для доступа к функциям. Он выглядел идентично законным всплывающим окнам, которые можно было увидеть на платформе, что не давало пользователям повода сомневаться в этом. Однако после подключения кошельки тихо опустошались от любых активов, которые они хранили.

Источник, цитируемый в утечке, утверждал, что подсказка появлялась почти на каждой странице сайта. «Сделайте ее там, где она появляется на каждой странице», — гласило одно сообщение. «У большинства людей монеты закреплены… в ту же секунду, как они отрисовывают сайт».

Похоже, что злоумышленник сосредоточился на повышении видимости и максимизации подключений кошельков. Некоторые отчеты предполагают, что даже кнопка подключения начала работать со сбоями из-за слишком частого отображения.

Согласно анализу Томми Х., канал Telegram TheCommsLeaks начал делиться подробностями около 7:30 вечера по местному времени 20 июня. Сообщения включали скриншоты, показывающие живую панель управления, используемую злоумышленником. Эти визуальные эффекты отображали соединения кошельков, переводы токенов и общие значения, слитые в реальном времени.

Ранние цифры показали 67 успешных атак и более 1300 подключений кошельков. Выплата уже превысила $21,000 в первой волне. К моменту окончания кампании окончательный улов вырос до $43,266, выкачанный из 110 жертв.

Среди выведенных токенов были SOL, XRP, EVT и более мелкие монеты, такие как PENGU и SHDW. Одна транзакция на сумму $1769 в XRP была связана с кошельком, видимым на BscScan, что предлагало публичное подтверждение кражи.

Однако исследователь отметил, что не все попытки были успешными. Журналы из инструментария злоумышленника также показали несколько неудачных сливов, как правило, из-за кошельков, содержащих неподдерживаемые токены или незначительные балансы.

После растущих спекуляций о том, была ли атака совершена с поддельного домена, CoinMarketCap обратилась к проблеме напрямую. В заявлении, опубликованном на X, компания заявила, что изображение каракули, отображаемое на их домашней странице, вызвало запуск вредоносного кода через встроенный вызов API. Эта уязвимость привела к появлению неавторизованного запроса на доступ к кошельку у некоторых пользователей.

Компания подтвердила, что ее служба безопасности отреагировала немедленно после обнаружения проблемы. Вредоносный контент был удален, а внутренние системы были исправлены для предотвращения дальнейшего злоупотребления.

«Все системы теперь полностью работоспособны, и CoinMarketCap безопасен и надежен для всех пользователей», — заявила компания, добавив, что продолжает следить за ситуацией и оказывать поддержку.

Этот инцидент продолжает показывать, как небольшие изменения интерфейса, даже те, которые включают что-то столь безобидное, как рисунок на домашней странице, могут быть использованы для нанесения масштабного ущерба. Хотя использование собственной среды легитимной платформы для развертывания вредоносных подсказок вызывает крайнее беспокойство, это отражает то, как легко доверие к знакомым интерфейсам может быть использовано не по назначению.

В отдельном инциденте, о котором Hackread сообщил на прошлой неделе, мошенники использовали поисковую рекламу, чтобы заставить пользователей звонить по поддельным номерам поддержки, указанным на настоящих сайтах, таких как Apple и PayPal. Хотя технически они не связаны, оба случая показывают, как злоумышленники полагаются на предположения пользователей о том, что безопасно для взаимодействия в сети.

На данный момент пользователям рекомендуется избегать прямого подключения кошельков через всплывающие окна и сверять любые запросы с официальным руководством платформы. Если что-то выглядит знакомым, это не всегда означает, что это безопасно.