Uno strumento per il furto di criptovalute chiamato StepDrainer sta sottraendo denaro dai portafogli su Ethereum, BNB Chain, Arbitrum, Polygon e almeno altre 17 reti.
StepDrainer funziona come un kit malware-as-a-service. Utilizza pop-up di wallet Web3 falsi ma realistici per indurre gli utenti ad approvare i trasferimenti. Alcune di queste schermate sono create per assomigliare alle connessioni al wallet Web3Modal.
Secondo LevelBlue, una volta che un utente collega il proprio portafoglio, StepDrainer cerca prima i token di maggior valore e li invia automaticamente ai portafogli controllati dagli aggressori.
StepDrainer fa un uso improprio degli strumenti dei contratti intelligenti
StepDrainer sfrutta in modo improprio strumenti di smart contract reali come Seaport e Permit v2 per mostrare finestre di approvazione del portafoglio che sembrano normali. Tuttavia, i dettagli contenuti in queste finestre sono falsi.
In un caso, i ricercatori di sicurezza informatica hanno scoperto che le vittime visualizzavano un messaggio falso che annunciava la ricezione di "+500 USDT", facendo apparire l'approvazione come sicura.
StepDrainer carica il suo codice dannoso modificando gli script e ottiene la configurazione da account decentralizzati on-chain.
Questa configurazione consente agli aggressori di eludere i normali strumenti di sicurezza, poiché il codice dannoso non è memorizzato in un unico luogo fisso dove possa essere facilmente scansionato.
StepDrainer non è un progetto di una sola persona. I ricercatori affermano che esiste un fiorente mercato nero che vende kit per il furto di portafogli digitali, facilitando così a molti truffatori l'aggiunta di funzionalità per il furto di denaro ai sistemi di frode già in uso.
EtherRAT sottrae criptovalute agli utenti Windows
Oltre a StepDrainer, i ricercatori hanno scoperto un altro malware chiamato EtherRAT. Questo malware prende di mira Windows tramite una versione contraffatta dello strumento di amministrazione di rete Tftpd64.
Secondo LevelBlue, EtherRAT nasconde Node.js all'interno di un finto programma di installazione, si assicura che rimanga sul computer tramite il registro di sistema di Windows e utilizza PowerShell per controllare il sistema.
EtherRAT inizialmente prendeva di mira Linux. Ora sta portando malware e furti di criptovalute anche su Windows.
EtherRAT funziona silenziosamente in background. Prima di iniziare a rubare dati, controlla elementi come gli antivirus, le impostazioni di sistema, i dettagli del dominio e l'hardware.
Secondo un recente report di Cryptopolitan, oltre 500 portafogli Ethereum sono stati svuotati nelle ultime 24 ore. L'attaccante ha sottratto più di 800.000 dollari in criptovalute e ha poi trasferito i fondi tramite ThorChain.
Secondo le ricerche on-chain di Wazz, molti dei portafogli svuotati risultavano inattivi da oltre 7 anni. I fondi sottratti provenivano da un singolo indirizzo di portafoglio controllato dall'attaccante.
Gli esperti di sicurezza informatica consigliano agli utenti che collegano i propri portafogli a siti sconosciuti di verificare il dominio, leggere i dettagli della transazione prima di firmare e rimuovere eventuali autorizzazioni per token illimitati.
Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi unirti a loro ?