Inferno Drainer: Kripto Dolandırıcılığı ve Çalınan Varlıklar

Group-IB Global Pvt. Ltd., kripto cüzdan sağlayıcılarını hedef alan bir dolandırıcılık operasyonu olan Inferno Drainer hakkında çarpıcı detayları açıkladı. Kasım 2022’den Kasım 2023’e kadar devam eden operasyon, sahte bir hizmet modeli altında çalışan çoklu zincirli bir kripto drainer’ı içeriyordu ve 100’den fazla markayı ve 16,000’den fazla kötü niyetli alanı hedef alarak 80 milyon doların üzerinde dijital varlık çaldı. Operasyon, Kasım 2023’te önemli finansal zarara neden olduktan sonra faaliyetini durdurdu.

Inferno Drainer ekibi, Group-IB’nin blog gönderisine göre, “137,000’den fazla kurbanı dolandırarak yaklaşık 87 milyon dolarlık gayrimeşru kazanç elde etmiş olabilir.”

Araştırmacılar, Seaport, WalletConnect ve Coinbase protokollerini taklit eden 14,000’den fazla sahte web sitesini keşfettiler, bunların 5,500’ü taklit edilmiş ve 550’si yazılım içeriyordu. Dolandırıcılar, Telegram kanalında sadece @Mr_inferno_Drainer adlı geliştirici ve teknik destek sağlayıcısı olduğunu iddia etti, ancak ekibin ilk kez 5 Kasım 2022’de kanalın oluşturulduğu gün ortaya çıkmasıdır.

Inferno Drainer ekibi, kullanıcılara yüksek kaliteli sahte sayfalar kullanarak kendilerine çekti. Kurbanları, X, Telegram ve Discord gibi sosyal medya platformları üzerinden ücretsiz token’lar olan airdrop’lar ve nonfungible token’lar üretme ödülleri sunarak hedef aldılar. Google’a ait Mandiant’in X hesabı da tehlikeye atıldı ve CLINKSINK adlı bir kripto drainer’ı barındıran bir sahte sayfaya bağlantılar dağıttı.

Group-IB, 500 alanı analiz etti ve GitHub deposundaki “kuzdaz” adlı bir kullanıcı tarafından barındırılan bir JavaScript tabanlı drainer buldu. Başka bir set, farklı bir depoda bulundu.

Bu siteler, kurbanları cüzdanlarını bağlamaya yönlendiren sahte komut dosyalarını tasarlanmış yetkisiz işlemleri tamamlamak için kullanıyorlardı. Dolandırıcılar, çalınan varlıkların yüzde 20’sini düz bir ücret olarak talep ederken, bağlı kuruluşlar kazançlarının yüzde 80’ini elde ettiler. Web3 protokollerini (Seaport, WalletConnect ve Coinbase dahil) taklit ederek DApps altında kötü niyetli işlemleri başlatıyorlardı.

Bağlı kuruluşlar için, kötü amaçlı yazılım özelliklerini özelleştirmek ve bağlı oldukları her sahte web sitesinde cüzdanlarına bağlanan kurban sayısı, onaylanmış işlemler ve çalınan varlıkların değeri gibi ayrıntılı istatistikler sunan bir müşteri paneli sunuyordu.

Group-IB’nin Yüksek Teknoloji Suçları İnceleme Departmanı’ndan Andrey Kolmakov, grupun Kasım ayında operasyonlarını sonlandırdığı iddiasına rağmen, bu kontrol panelinin Aralık ayı boyunca aktif kaldığını ve diğer hacker’ların durumu istismar etmelerine izin verdiğini belirtti.

“İnferno Drainer faaliyetini sonlandırabilir, ancak 2023 boyunca gösterdiği etkinlik, drainer’ların daha da gelişmeye devam etmesiyle kripto varlık sahipleri için ciddi risklere işaret ediyor,” diye ekledi Kolmakov.