加密货币网络钓鱼链接正如潮水般涌入社交媒体,其数量之多,迭代之快,“得益”于诈骗团伙背后的分润者 Drainer。Drainer 是一种恶意软件,专门设计用来非法清空或“排空”加密货币钱包,这种软件被其开发者提供出租,意味着任何人付费使用该恶意工具。
本文将列示一些具有代表性的 Drainer 是如何协助不法分子进行诈骗、盗窃、勒索等活动,通过对真实的排水器受害者案例进行分析,帮助用户加深对网络钓鱼威胁的认识。
Drainer的运作模式
尽管 Drainer 的类别较多,但形式大同小异——利用社会工程学手段,如假冒官方公告或空投活动,诱骗用户上当。
InfernoDrainer空投申领
该团伙通过电报频道推广服务,采用诈骗即服务模式运营,由开发者提供给诈骗分子需要的钓鱼网站以支持其诈骗活动,一旦受害者扫描钓鱼网站上的二维码并连接钱包,Inferno Drainer 就会检查并定位钱包中最有价值且易于转移的资产,启动一个恶意交易。受害者确认这些交易后,资产便转移到犯罪分子的账户中。被盗资产的20% 归 Inferno Drainer 的开发者所有,而 80% 则归诈骗分子所有。
Source:Group-B
购买该恶意软件服务的诈骗团伙,主要通过冒充加密货币知名项目的钓鱼网站,引诱潜在受害者发起欺诈交易——利用高仿推特号,在官方推特账号的评论区大量发布虚假的空投申领链接,诱使用户进入网站,用户一旦疏忽大意就可能遭受资金损失。(高仿号@Blasqt_L2,官方账号@Blast_L2)
PinkDrainer社媒攻击
除了上文提及的售卖恶意软件,社会工程学攻击也是 Drainer 较为惯用的伎俩——通过盗取高流量个人或项目的Discord、Twitter账号,发布包含钓鱼链接的虚假信息以窃取用户资产。黑客通过引导 Discord 管理员打开恶意的 Carl 验证机器人、添加包含恶意代码的书签来窃取权限。在成功获取权限之后,黑客还会通过删除其他管理员、将恶意账户设置为管理员、主账号违规等措施,让整个攻击过程持续更长时间。
“DragMe”实际上包含可以窃取用户DiscordToken的恶意JS代码
黑客通过盗取的 Discord 账号发送钓鱼链接,诱骗用户打开恶意网站,并签署恶意签名,从而对用户进行资产盗窃。截至撰写本文时,Pink Drainer 已对 21,131 名用户展开窃取,金额多达 85,297,091 美元。
LockBit勒索服务
LockBit 是一家俄罗斯勒索软件服务组织,提供域名、恶意软件的开发和维护等事务,保留被其代码感染的受害人赎金的 20%;勒索服务使用者负责寻找勒索目标,获得最终支付给该组织赎金金额的 80%。
据美国司法部称,该团伙于 2019 年 9 月首次出现,已对世界各地的数千名受害者发动了攻击,勒索超过 1.2 亿美元的赎金。美国于近期指控一名俄罗斯男子为 LockBit 勒索软件集团的头目,冻结 200多个被认为与该团伙活动有关的加密货币账户,并对该组织予以制裁。
Drainer的危害之大
以 Bitrace 收录的一例与 Pink Drainer 相关的受害人案件为例,受害人点击钓鱼网站授权后被盗取价值 28.7 万美元的加密货币。该钓鱼网站为 pacnoon.io,于 Blast 公链上线初期被投放于社媒,诱骗用户领取空投,与官方网站 pacmoon.io(pacmoon 是 Blast 上的一个知名项目,采用分发代币空投的形式热启动)仅差一个字母,用户极易混淆。
根据受害人提供的被盗哈希,我们发现该笔被盗交易的发起人为 Pink Drainer。得逞后,3.62 万枚$RBN 进入 Pink Drainer 的资金汇集地址,14.49 万枚$RBN 进入黑客地址。可见,两个不法团伙完成了获利资金的二八分成。据 Bitrace 平台数据显示,自 2023 年 3 月至今,仅本案涉及的 Pink Drainer 资金汇集地址流水高达 8143.44 枚$ETH,91.1 万枚$USDT。
据统计,2023年 Drainer 已从 324,000名受害者手中窃取了近 2.95 亿美元的资产。如下图所示,多数 Drainer 从去年才开始活跃,但其已造成巨大的经济损失,仅下图列示的 7 种 Drainer 就已窃取了数亿美元,可见其普及面之广、威胁之大。
Source:Scam Sniffer
写在最后
知名团伙 Pink Drainer 于 2024 年 5 月 17 日宣布退休。4 天后,Inferno Drainer 团队发文,“我们决定是时候让地狱回归了。” Pink Drainer 歇业,Inferno Drainer 展业,每当一个 Drainer 退出,就会有新的 Drainer 替代,钓鱼活动此消彼长。
不法团伙猖獗,安全的加密环境需要多方一同努力。Bitrace 会持续围绕新型加密货币案件的诈骗手法、资金溯源、防范措施等方面展开揭露,以培养用户的防诈意识。如果您不幸遭受损失,可以随时联系我们获取帮助。
参考链接
https://drops.scamsniffer.io/post/pink-drainer-steals-3m-from-multiple-hack-events-including-openai-cto-orbiter-finance/
https://www.group-ib.com/blog/inferno-drainer/
https://krebsonsecurity.com/2024/05/u-s-charges-russian-man-as-boss-of-lockbit-ransomware-group/