Google i Twitter oglasi promovišu web stranice koje sadrže cryptocurrency drainer pod nazivom ‘MS Drainer’ koji je već ukrao 59 miliona dolara od 63.210 žrtava u proteklih devet mjeseci.
Prema analitičarima blockchain prijetnji u ScamSniffer-u, otkrili su preko deset hiljada phishing web stranica koje su koristile drainer od marta 2023. do danas, s porastom aktivnosti uočenim u maju, junu i novembru.
Drainer je zlonamjerni pametni ugovor ili, u ovom slučaju, kompletan paket za krađu identiteta koji je dizajniran da odvuče sredstva iz korisničkog novčanika za kriptovalute bez njegovog pristanka .
Korisnici bivaju odvedeni na legitimnu phishing web stranicu i prevareni da odobre maliciozne ugovore, omogućavajući drainer-u da automatski izvrši neovlaštene transakcije i prebaci novac žrtve na adresu novčanika napadača.
Izvorni kod za MS Drainer prodaje sajber kriminalcima za 1.500 dolara korisnik pod imenom ‘Pakulichev’ ili ‘PhishLab’, koji također naplaćuje 20% naknade za sva sredstva ukradena pomoću alata. PhishLab također prodaje dodatne module koji dodaju nove funkcije malveru, a koštaju između 500 i 1.000 dolara.
Post promoviše MS Drainer za sajber kriminalce (ScamSniffer)
Prema blockchain podacima o aktivnostima MS Drainer-a, jedna od žrtava Ethereum lanca izgubila je kriptovalute u vrijednosti od 24 miliona dolara, dok drugi značajni slučajevi uključuju žrtve koje su izgubile između 440.000 i 1,2 miliona dolara.
Lažni oglasi na Google-u i X-u
U Google pretraživanju, MS Drainer se promoviše putem zlonamjernih oglasa koji se prikazuju za ključne riječi povezane s DeFi platformama kao što su Zapper, Lido, Stargate, Defillama, Orbiter Finance i Radiant.
Mnogi od tih oglasa iskorištavaju rupu u predlošku za praćenje Google Adsa kako bi URL izgledao kao da pripada službenoj domeni lažnog projekta. Preusmjeravanje, međutim, vodi one koji kliknu na phishing stranicu.
Primjer zlonamjernih oglasa na Google pretraživanju (ScamSniffer)
Na X-u, poznatijem kao Twitter, reklame za MS Drainer su toliko obilne da ScamSniffer izvještava da predstavljaju šest od devet phishing oglasa na njihovom feedu.
Značajno je da su mnogi oglasi za prevaru na X-u postavljeni sa legitimnih “provjerenih” naloga koji su nosili plavu značku kada je oglas prikazan.
Istraživač sigurnosti MalwareHunterTeam, koji je pratio slične oglase, rekao je za BleepingComputer da vjeruju da su vlasnici Twitter naloga možda zaraženi malverom koji je ukrao njihove kolačiće ili lozinke za autentifikaciju, omogućavajući hakerima da kreiraju reklame sa hakovanih naloga.
Začudo, istraživač je razgovarao sa X nalogom koji je reklamirao prevaru sa kriptovalutama i rečeno mu je da na njihovim reklamnim nalozima nema traga od oglasa.
Na X-u, sajber kriminalci su koristili više tema za svoje reklame, uključujući i onu pod nazivom “Ordinals Bubbles”, koja je promovisala navodno ograničenu kolekciju NFT (nezamjenjivi token) s različitim likovima u mjehurićima.
Oglasi ‘Ordinals Bubbles’ na X (ScamSniffer)
Oglasi su također promovirali NFT airdrops i lansiranje novih tokena na web-lokacijama koje sadrže drainer.
Ostali oglasi koji promovišu MS Drainer na X (ScamSniffer)
ScamSniffer kaže da je jedna metoda zaobilaženja detekcije koju koriste ovi oglasi geofencing, koja cilja samo korisnike iz unaprijed definisanih regija, a ostatak preusmjerava na legitimne/bezopasne web stranice.
Odredišna stranica se mijenja zavisno o lokaciji posjetioca (ScamSniffer)
Prevare s kriptovalutama su uvijek imale dobre rezultate na X-u, ali s pouzdanim, hakovanim nalozima koji sada prikazuju reklame koje promovišu zlonamjerne stranice, trebali bismo očekivati da će ove vrste napada postati još uspješnije.
Korisnici bi trebali biti vrlo oprezni kada vide oglase koji se odnose na kriptovalute i detaljno provjeriti prije nego što se prijave na nove platforme, a kamoli da povežu svoje novčanike.
Izvor: BleepingComputer
