Industria de ataques de phishing en el mundo de la encriptación: análisis de la ecología de "fraude como servicio"

Desde junio de 2024, el equipo de seguridad ha monitoreado una gran cantidad de transacciones de phishing similares, con un monto involucrado que supera los 55 millones de dólares solo en el mes de junio. A partir de agosto y septiembre, las actividades de phishing relacionadas se han vuelto más frecuentes y han ido en aumento. En el tercer trimestre de 2024, los ataques de phishing se han convertido en el método de ataque que causa la mayor pérdida económica, con más de 243 millones de dólares obtenidos en 65 acciones de ataque. El análisis muestra que los recientes ataques de phishing son muy probablemente relevantes con el infame equipo de herramientas de phishing Inferno Drainer. Este equipo había anunciado a finales de 2023 su "jubilación" de manera ostentosa, pero ahora parece haber regresado, planeando una serie de ataques a gran escala.

Este artículo analizará los métodos típicos de operación de grupos de phishing como Inferno Drainer y Nova Drainer, y enumerará en detalle sus características de comportamiento para ayudar a los usuarios a mejorar su capacidad de reconocimiento y prevención de fraudes de phishing.

Estafa como Servicio(Scam-as-a-Service)Resumen

En el ámbito de la encriptación, algunos equipos de phishing han inventado un nuevo modo malicioso, conocido como "fraude como servicio". Este modelo empaqueta herramientas y servicios de fraude, ofreciéndolos de manera comercial a otros criminales. Inferno Drainer es un representante típico en este campo, y durante el período en el que anunciaron por primera vez el cierre del servicio, de noviembre de 2022 a noviembre de 2023, el monto defraudado superó los 80 millones de dólares.

Inferno Drainer ayuda a los compradores a lanzar ataques rápidamente al proporcionarles herramientas y infraestructura de phishing listas para usar, que incluyen el frontend y backend de sitios de phishing, contratos inteligentes y cuentas de redes sociales. Los phishers que compran el servicio retienen la mayor parte de las ganancias mal adquiridas, mientras que Inferno Drainer cobra una comisión del 10%-20%. Este modelo reduce significativamente la barrera técnica para el fraude, haciendo que el crimen cibernético sea más eficiente y escalable, lo que ha llevado a una proliferación de ataques de phishing en la industria de la encriptación, especialmente aquellos usuarios que carecen de conciencia de seguridad son más propensos a convertirse en objetivos de ataque.

Mecanismo de operación del fraude como servicio

Antes de introducir el fraude como servicio, primero entendamos el flujo de trabajo típico de una aplicación descentralizada (DApp). Una DApp típica generalmente consiste en una interfaz de frontend (como una página web o una aplicación móvil) y contratos inteligentes en la blockchain. Los usuarios se conectan a la interfaz de frontend de la DApp a través de una billetera de blockchain, la página de frontend genera la transacción de blockchain correspondiente y la envía a la billetera del usuario. Luego, el usuario utiliza su billetera de blockchain para firmar y aprobar esta transacción. Una vez completada la firma, la transacción se envía a la red de blockchain y se invoca el contrato inteligente correspondiente para ejecutar las funciones requeridas.

Los atacantes de phishing inducen astutamente a los usuarios a realizar operaciones inseguras mediante el diseño de interfaces frontales y contratos inteligentes maliciosos. Los atacantes suelen guiar a los usuarios a hacer clic en enlaces o botones maliciosos, engañándolos para que aprueben algunas transacciones maliciosas ocultas, e incluso, en algunos casos, engañando directamente a los usuarios para que revelen sus claves privadas. Una vez que el usuario firma estas transacciones maliciosas o expone su clave privada, el atacante puede transferir fácilmente los activos del usuario a su propia cuenta.

Las técnicas de phishing comunes incluyen:

1. Frontend de un proyecto conocido falsificado: los atacantes imitan cuidadosamente el sitio web oficial de un proyecto famoso, creando una interfaz frontend que parece legítima, lo que lleva a los usuarios a creer que están interactuando con un proyecto confiable, lo que les hace bajar la guardia, conectar su billetera y realizar operaciones inseguras.

2. Estafa de airdrop de tokens: los atacantes promocionan en redes sociales sitios de phishing, afirmando que hay oportunidades muy atractivas como "airdrop gratuito", "preventa anticipada", "acuñación gratuita de NFT", lo que atrae a las víctimas a hacer clic en los enlaces. Una vez que las víctimas son atraídas al sitio de phishing, a menudo se conectan a su billetera y aprueban transacciones maliciosas sin darse cuenta.

3. Eventos falsos de hackeo y estafas de recompensas: los ciberdelincuentes afirman que un proyecto conocido ha sido objeto de un ataque de hackers o de congelación de activos, y que ahora están otorgando compensaciones o recompensas a los usuarios. Atraen a los usuarios a sitios web de phishing a través de estas falsas emergencias, engañándolos para que conecten sus billeteras y, en última instancia, roban los fondos de los usuarios.

Se puede decir que el phishing no es un método nuevo, ya que era bastante común antes de 2020, pero el modelo de fraude como servicio ha sido en gran medida el principal impulsor del aumento del phishing en los últimos dos años. Antes de la aparición del fraude como servicio, los atacantes de phishing tenían que preparar capital inicial en la cadena, crear sitios web frontales y contratos inteligentes para cada ataque. Aunque la mayoría de estos sitios de phishing estaban mal hechos, podían recrear nuevos proyectos de fraude utilizando un conjunto de plantillas y realizando modificaciones simples, pero la operación y el diseño de la página requerían un cierto nivel de habilidad técnica. Proveedores de herramientas de fraude como Inferno Drainer han eliminado por completo la barrera técnica del phishing, ofreciendo servicios para crear y alojar sitios web de phishing a compradores que carecen de la tecnología correspondiente y extrayendo ganancias de las estafas.

Mecanismo de reparto de botín de Inferno Drainer

El 21 de mayo de 2024, Inferno Drainer publicó un mensaje de verificación de firma en etherscan, anunciando su regreso y creando un nuevo canal de redes sociales.

Una dirección ha realizado una gran cantidad de transacciones con patrones similares. Tras el análisis e investigación de las transacciones, creemos que este tipo de transacciones son las que realiza el Inferno Drainer para transferir y repartir fondos una vez que detecta que la víctima ha caído en la trampa. Tomemos como ejemplo una de las transacciones realizadas con esta dirección:

1. Inferno Drainer crea un contrato a través de CREATE2. CREATE2 es una instrucción en la máquina virtual de Ethereum que se utiliza para crear contratos inteligentes. A diferencia de la instrucción CREATE tradicional, la instrucción CREATE2 permite calcular de antemano la dirección del contrato en función del código de bytes del contrato inteligente y un salt fijo. Inferno Drainer aprovecha la naturaleza de la instrucción CREATE2 para calcular previamente la dirección del contrato de reparto para los compradores del servicio de phishing, y una vez que la víctima cae en la trampa, se crea el contrato de reparto para completar la transferencia de tokens y la operación de reparto.

2. Llamar al contrato creado, aprobando los tokens de la víctima a la dirección de phishing (el comprador del servicio Inferno Drainer) y la dirección de reparto. El atacante, a través de diversos métodos de phishing, guía a la víctima a firmar involuntariamente un mensaje malicioso de Permit2. Permit2 permite a los usuarios autorizar la transferencia de tokens mediante una firma, sin necesidad de interactuar directamente con la billetera. Así, la víctima cree que solo está participando en una transacción habitual o autorizando algunas acciones inofensivas, mientras que en realidad está autorizando sin saberlo sus tokens a una dirección controlada por el atacante.

3. Transferir una cierta cantidad de tokens a dos direcciones de reparto, transferir los tokens restantes al comprador y completar la distribución.

Cabe mencionar que actualmente hay varias billeteras de encriptación que han implementado funciones anti-phishing o similares, pero muchas de las funciones anti-phishing de las billeteras se realizan mediante listas negras de dominios o direcciones de encriptación. Inferno Drainer puede eludir estas funciones anti-phishing en cierta medida al crear un contrato antes de la distribución del botín, lo que reduce aún más la vigilancia de las víctimas. Debido a que cuando la víctima aprueba una transacción maliciosa, el contrato ni siquiera ha sido creado, y por lo tanto, no se puede hablar de analizar e investigar esa dirección. En esta transacción, el comprador del servicio de phishing se llevó el 82.5% del botín, mientras que Inferno Drainer retuvo el 17.5%.

Pasos sencillos para crear un sitio web de phishing

Con la ayuda de fraude como servicio, a los atacantes les resulta excepcionalmente fácil crear un sitio web de phishing:

1. Ingrese al canal de redes sociales del proveedor de servicios, con solo un simple comando, podrá crear un dominio gratuito y la dirección IP correspondiente.

2. Elige uno de los cientos de plantillas proporcionadas por el proveedor de servicios, luego ingresa al proceso de instalación, y después de unos minutos, se habrá creado un sitio web de phishing que parece bastante real.

3. Buscar víctimas. Una vez que una víctima ingresa al sitio web, cree en la información fraudulenta en la página y conecta su billetera para aprobar la transacción maliciosa, los activos de la víctima serán transferidos.

Los atacantes, con la ayuda de fraudes como servicio, pueden crear un sitio web de phishing de esta manera en solo tres pasos y tomar solo unos minutos.

Resumen y recomendaciones de seguridad

El regreso de Inferno Drainer sin duda ha traído enormes riesgos de seguridad para los usuarios de la industria, su poderosa funcionalidad, métodos de ataque encubiertos y costos del crimen extremadamente bajos lo convierten en una de las herramientas preferidas por los delincuentes cibernéticos para llevar a cabo ataques de phishing y robo de fondos.

Los usuarios que participan en el comercio de encriptación deben estar siempre alerta y recordar los siguientes puntos:

• Cuidado con el almuerzo gratis: No creas en ninguna promoción de "regalos caídos del cielo", como airdrops sospechosos o compensaciones, solo confía en los sitios web oficiales o en proyectos que hayan sido auditados profesionalmente.
• Verifica cuidadosamente el enlace de la red: antes de conectar tu billetera a cualquier sitio web, verifica cuidadosamente la URL para asegurarte de que no imite a proyectos conocidos, y trata de utilizar herramientas de consulta de dominio WHOIS para ver su fecha de registro. Los sitios web con un tiempo de registro muy corto son muy probablemente proyectos fraudulentos.
• Proteger la información de privacidad: No envíe su frase semilla o clave privada a ningún sitio web o aplicación sospechosa. Antes de que la billetera solicite firmar cualquier mensaje o aprobar una transacción, verifique cuidadosamente si la transacción podría ser un Permit o un Approve que podría resultar en la pérdida de fondos.
• Mantente atento a las actualizaciones de información sobre estafas: sigue las cuentas oficiales en redes sociales que publican alertas de manera regular. Si descubres que has autorizado tokens a una dirección de estafa, retira la autorización a tiempo o transfiere los activos restantes a otra dirección segura.