استپدرینر کیف پولهای کریپتو را در بیش از ۲۰ شبکه تخلیه میکند
یک ابزار سرقت کریپتو به نام StepDrainer در حال تخلیه کیف پولها در شبکههای اتریوم، BNB Chain، Arbitrum، Polygon و حداقل ۱۷ شبکه دیگر است.
StepDrainer به عنوان یک کیت بدافزار به عنوان سرویس عمل میکند. از پاپآپهای جعلی اما واقعبینانه کیف پول Web3 برای فریب افراد جهت تأیید انتقالها استفاده میکند. برخی از این صفحات طوری طراحی شدهاند که شبیه اتصالات کیف پول Web3Modal به نظر برسند.
به گفته LevelBlue، پس از اتصال کیف پول، StepDrainer ابتدا باارزشترین توکنها را جستجو کرده و به طور خودکار آنها را به کیف پولهای تحت کنترل مهاجمان ارسال میکند.
سوءاستفاده StepDrainer از ابزارهای قرارداد هوشمند
StepDrainer از ابزارهای واقعی قرارداد هوشمند مانند Seaport و Permit v2 سوءاستفاده میکند تا پاپآپهای تأیید کیف پول که طبیعی به نظر میرسند نمایش دهد. اما جزئیات داخل این پاپآپها جعلی هستند.
در یک مورد، محققان امنیت سایبری دریافتند که قربانیان یک پیام جعلی میدیدند که اعلام میکرد در حال دریافت "+500 USDT" هستند و تأیید را ایمن نشان میداد.
StepDrainer کد مخرب خود را از طریق اسکریپتهای متغیر بارگذاری کرده و تنظیمات خود را از حسابهای آنچین غیرمتمرکز دریافت میکند.
این تنظیمات به مهاجمان کمک میکند از ابزارهای امنیتی معمول فرار کنند، زیرا کد مخرب در یک مکان ثابت ذخیره نمیشود که بتوان به راحتی آن را اسکن کرد.
StepDrainer تنها پروژه یک نفر نیست. محققان گفتند یک بازار زیرزمینی توسعهیافتهای وجود دارد که کیتهای آماده تخلیه را میفروشد و این امر اضافه کردن قابلیتهای سرقت کیف پول به کلاهبرداریهایی که مهاجمان در حال اجرا هستند را برای بسیاری از آنها آسانتر میکند.
EtherRAT کریپتو کاربران ویندوز را تخلیه میکند
محققان همچنین یک بدافزار دیگر به جز StepDrainer پیدا کردند که EtherRAT نام دارد. این بدافزار از طریق نسخه جعلی ابزار مدیریت شبکه Tftpd64 ویندوز را هدف قرار میدهد.
به گفته LevelBlue، EtherRAT فایل Node.js را داخل یک نصبکننده جعلی پنهان میکند، از طریق رجیستری ویندوز از ماندگاری در رایانه اطمینان حاصل میکند و از PowerShell برای بررسی سیستم استفاده میکند.
EtherRAT ابتدا لینوکس را هدف قرار میداد. اکنون ترفندهای بدافزاری و سرقت کریپتو را به ویندوز میآورد.
EtherRAT به آرامی در پسزمینه اجرا میشود. قبل از شروع سرقت، مواردی مانند ابزارهای آنتیویروس، تنظیمات سیستم، جزئیات دامنه و سختافزار را بررسی میکند.
بر اساس گزارش اخیر Cryptopolitan، در ۲۴ ساعت گذشته بیش از ۵۰۰ کیف پول اتریوم تخلیه شده است. مهاجم بیش از ۸۰۰ هزار دلار دارایی کریپتو را سرقت کرده و سپس وجوه را از طریق ThorChain سواپ کرده است.
بر اساس تحقیقات آنچین Wazz، بسیاری از کیف پولهای تخلیهشده بیش از ۷ سال غیرفعال بودهاند. وجوه تخلیهشده توسط یک آدرس کیف پول واحد تحت کنترل مهاجم هدایت شدهاند.
محققان امنیت سایبری به کاربرانی که کیف پولهایشان را به سایتهای ناشناس متصل میکنند توصیه میکنند دامنه را تأیید کنند، جزئیات تراکنش را قبل از امضا بخوانند و هر تأیید توکن نامحدودی را حذف کنند.
میانهای بین نگه داشتن پول در بانک و شرطبندی در کریپتو وجود دارد. با این ویدیوی رایگان درباره امور مالی غیرمتمرکز شروع کنید.
محتوای پیشنهادی
صندوقهای ETF بیت کوین نزدیک به نیم میلیارد دلار از دست دادند زیرا ترس به کریپتو بازگشت
واشنگتن پست جف بزوس انتقاد تندی از طرح «بسیار احمقانه» ترامپ ارائه میدهد
