StepDrainer drena carteiras de cripto em mais de 20 redes
Uma ferramenta de roubo de cripto chamada StepDrainer está a drenar dinheiro de carteiras na Ethereum, BNB Chain, Arbitrum, Polygon e pelo menos 17 outras redes.
O StepDrainer funciona como um kit de malware-as-a-service. Utiliza pop-ups falsos, mas realistas, de carteiras Web3 para enganar as pessoas e levá-las a aprovar transferências. Alguns desses ecrãs são criados para parecer ligações de carteiras Web3Modal.
Assim que alguém liga a sua carteira, o StepDrainer procura primeiro os tokens mais valiosos e envia-os automaticamente para carteiras controladas pelos atacantes, de acordo com a LevelBlue.
O StepDrainer faz uso indevido de ferramentas de contrato inteligente
O StepDrainer faz uso indevido de ferramentas de contrato inteligente reais, como o Seaport e o Permit v2, para mostrar pop-ups de aprovação de carteiras com aparência normal. Mas os detalhes dentro desses pop-ups são falsos.
Num caso, investigadores de cibersegurança descobriram que as vítimas viram uma mensagem falsa a dizer que estavam a receber "+500 USDT", fazendo com que a aprovação parecesse segura.
O StepDrainer carrega o seu código malicioso através de scripts em alteração e obtém a sua configuração a partir de contas on-chain descentralizadas.
Essa configuração ajuda os atacantes a contornar as ferramentas de segurança normais, porque o código malicioso não está armazenado num único local fixo onde possa ser facilmente analisado.
O StepDrainer não é apenas o projeto de uma pessoa. Os investigadores referiram que existe um mercado underground desenvolvido que vende kits de drainer prontos a usar, facilitando a muitos atacantes a adição de funcionalidades de roubo de carteiras a esquemas que já executam.
O EtherRAT sifona cripto de utilizadores de Windows
Os investigadores também encontraram outro malware além do StepDrainer, chamado EtherRAT. Este visa o Windows através de uma versão falsa da ferramenta de administração de rede Tftpd64.
De acordo com a LevelBlue, o EtherRAT esconde o Node.js dentro de um instalador falso, garante que permanece no computador através do registo do Windows e utiliza o PowerShell para verificar o sistema.
O EtherRAT visou inicialmente o Linux. Agora está a trazer truques de malware e roubo de cripto para o Windows.
O EtherRAT corre silenciosamente em segundo plano. Verifica coisas como ferramentas antivírus, definições do sistema, detalhes de domínio e hardware antes de começar a roubar.
De acordo com um relatório recente da Cryptopolitan, mais de 500 carteiras Ethereum foram drenadas nas últimas 24 horas. O atacante sifounou mais de 800 mil dólares em ativos cripto e depois trocou os fundos através do ThorChain.
Muitas das carteiras drenadas estavam inativas há mais de 7 anos, de acordo com a investigação on-chain Wazz. Os fundos drenados foram direcionados por um único endereço de carteira controlado pelo atacante.
Os investigadores de cibersegurança aconselham os utilizadores que ligam carteiras a sites desconhecidos a verificar o domínio, ler os detalhes da transação antes de assinar e remover quaisquer aprovações ilimitadas de tokens.
Existe um meio-termo entre deixar dinheiro no banco e arriscar tudo em cripto. Comece com este vídeo gratuito sobre finanças descentralizadas.
Você também pode gostar
Syndicate cho biết lộ khóa riêng gây thiệt hại cầu nối 380.000 USD
Syndicate mất 380.000 USD do rò rỉ khóa riêng và tấn công cầu nối
