การกลับมาของ Inferno Drainer
มัลแวร์ขโมยคริปโตที่รู้จักในชื่อ Inferno Drainer ยังคงดำเนินการอยู่ แม้ว่าจะมีการประกาศปิดตัวในที่สาธารณะแล้ว โดยมันถูกใช้เพื่อขโมยเงินรวมกว่า 9 ล้านดอลลาร์ จากกระเป๋าเงินคริปโตในช่วงหกเดือนที่ผ่านมา ข้อมูลจากบริษัทด้านความปลอดภัยไซเบอร์ Check Point Research (CPR) ระบุว่ากระเป๋าเงินคริปโตกว่า 30,000 ใบ ได้รับผลกระทบจากแคมเปญมัลแวร์ที่กลับมาอีกครั้ง
การวิเคราะห์และพัฒนาของมัลแวร์
แม้ว่านักพัฒนาจะอ้างว่าหยุดดำเนินการในเดือนพฤศจิกายน 2023 แต่ข้อมูลจาก CPR ระบุว่า ตัวเลขดังกล่าวมาจากการวิเคราะห์รหัส JavaScript ของมัลแวร์ การถอดรหัสการกำหนดค่าที่ได้รับจากเซิร์ฟเวอร์คำสั่งและควบคุม (C&C) และการวิเคราะห์กิจกรรมบนบล็อกเชน ซึ่งส่วนใหญ่พบว่าอยู่บน Ethereum และ Binance Chain
CPR กล่าวว่าสัญญาอัจฉริยะของ Inferno Drainer ที่เปิดใช้งานในปี 2023 ยังคงทำงานอยู่จนถึงปัจจุบัน ขณะที่เวอร์ชันปัจจุบันของมัลแวร์ดูเหมือนจะได้มีการปรับปรุงจากรุ่นก่อนหน้า มันสามารถใช้สัญญาอัจฉริยะแบบใช้ครั้งเดียวและการกำหนดค่าที่เข้ารหัสบนบล็อกเชน ซึ่งทำให้การตรวจจับและป้องกันการโจมตีเป็นเรื่องยาก
นอกจากนี้ การสื่อสารกับเซิร์ฟเวอร์ C&C ยังถูกทำให้ซับซ้อนผ่านระบบพรอกซี ทำให้การติดตามผู้กระทำผิดเป็นเรื่องยากขึ้น
การโจมตีผ่านแคมเปญฟิชชิง
การกลับมาของ Inferno Drainer เกิดขึ้นพร้อมกับแคมเปญฟิชชิงที่มุ่งเป้าไปยังผู้ใช้ Discord ข้อมูลจากนักวิเคราะห์ CPR ระบุว่า แคมเปญนี้ใช้เทคนิคการวิศวกรรมสังคมเพื่อเปลี่ยนเส้นทางผู้ใช้จากเว็บไซต์โครงการ Web3 ที่ถูกต้องไปยังเว็บไซต์ปลอมที่เลียนแบบประสบการณ์ผู้ใช้ (UX) ซึ่งรวมถึงการเลียนแบบบอต Discord ที่ได้รับความนิยมอย่าง Collab.Land
เว็บไซต์ปลอม Collab.Land เป็นที่ตั้งของเครื่องมือขโมยสกุลเงินดิจิทัล ซึ่งหลอกล่อเหยื่อให้เซ็นธุรกรรมที่เป็นอันตราย นำไปสู่การสูญเสียเงินทุนของพวกเขา
โดยการรวม “การหลอกล่อเฉพาะกลุ่มและกลยุทธ์การวิศวกรรมสังคมที่มีประสิทธิภาพ” แคมเปญมัลแวร์นี้จึงสร้าง “กระแสเงินที่มั่นคง” ซึ่งสามารถสังเกตได้ผ่านการวิเคราะห์ธุรกรรมบล็อกเชน
คำแนะนำสำหรับผู้ใช้คริปโต
นักวิเคราะห์ CPR แนะนำให้ผู้ใช้คริปโตระมัดระวังเป็นพิเศษเมื่อมีการติดต่อกับแพลตฟอร์มที่ไม่คุ้นเคย บอต Collab.Land ปลอมที่ CPR ระบุมีเพียง “ความแตกต่างทางสายตาที่ละเอียดอ่อน” กับบอตที่ถูกต้อง และผู้กระทำผิดทางไซเบอร์ที่อยู่เบื้องหลังก็ดูเหมือนว่าจะ “ยังคงปรับปรุงการเลียนแบบของพวกเขา“
เนื่องจากบริการ Collab.Land ที่ถูกต้องต้องการให้ผู้ใช้ยืนยันกระเป๋าเงินของพวกเขาโดยการเซ็นชื่อ นักวิจัยตั้งข้อสังเกตว่า “แม้แต่ผู้ใช้คริปโตที่มีประสบการณ์ก็สามารถลดการระมัดระวัง” เมื่อสัมผัสกับบอตปลอมนี้ ดังนั้นการตรวจสอบความถูกต้องก่อนเชื่อมต่อกระเป๋าเงินกับบริการใดๆ จึงเป็นสิ่งสำคัญ
การพัฒนาเทคนิคการโจมตี
การฟื้นตัวของ Inferno Drainer เป็นเพียงหนึ่งในหลายแคมเปญมัลแวร์ที่เกิดขึ้นในช่วงไม่กี่เดือนที่ผ่านมา แฮ็กเกอร์กำลังใช้เทคนิคที่ซับซ้อนขึ้นเรื่อยๆ ในการส่งมัลแวร์ขโมยคริปโต โดยเป้าหมายรวมถึงรายชื่ออีเมลที่ถูกแฮ็ก ไลบรารี Python โอเพนซอร์ซ และแม้แต่การติดตั้งโทรจันล่วงหน้าบนโทรศัพท์ Android ปลอม
