Grazie al lavoro dei ricercatori di Group-IB è stata possibile individuare dei cybercriminali che, spacciandosi per Coinbase e sfruttando un malware, sono riusciti a prosciugare i wallet crittografici di numerose vittime.
Per tale scopo, i criminali informatici hanno utilizzato pagine phishing estremamente convincenti, appositamente progettate per spingere gli utenti a cedere i dati di accesso del proprio wallet.
I cybercriminali, da quanto emerge, avrebbero avviato la campagna a novembre 2022, affidandosi a un MaaS (Malware-as-a-Service) denominato Inferno Drainer. Il termine “drainer”, ovvero drenare, non viene utilizzato a proposito: l’obiettivo dell’agente malevolo è proprio di prosciugare wallter crittografici, andando a rubare anche NFT e simili.
Il sistema MaaS legato a Inferno Drainer propone ai criminali il 20% dei profitti ottenuti dall’utilizzo del malware, attirando dunque un gran numero di malintenzionati. Gli affiliati, dunque, devono convincere in qualche modo le potenziali vittime a collegare il wallet all’infrastruttura degli aggressori.
Nel caso di questa campagna specifica, il tutto è avvenuto con le già citate pagine di phishing, attraverso cui agli utenti era fatto credere di interagire con Coinbase.
Siti phishing e Inferno Drainer: la campagna che colpisce Coinbase ha fatto più di 130.000 vittime
Secondo i dati in possesso di Group-IB l’attacco che abusa di Coinbase è da considerarsi su vasta scala.
I ricercatori, infatti, hanno individuato più di 16.000 domini distinti collegati ad attività legate a Inferno Drainer. Stando alle informazioni raccolte, in questa operazione sono probabilmente coinvolti diversi gruppi legati al cybercrimine.
In genere, gli attacchi convincono la vittima di aver ricevuto un airdrop. Con questo termine viene definito un nuovo progetto promosso dagli sviluppatori attraverso la distribuzione di token. Questi vengono offerti gratuitamente, in cambio di determinate azioni che portano visibilità al progetto stesso.
Di fatto, per i cybercriminali la scusa di un fantomatico airdrop ha creato l’interesse delle potenziali vittime, rendendo più facile intaccare i loro wallet. L’abuso del nome di Coinbase, nello specifico, avrebbe assunto numeri enormi. Si parla, infatti, di più di 130.000 vittime con un bottino complessivo che supererebbe gli 80 milioni di dollari.