Desvendando a industrialização de ataques de phishing no mundo da encriptação

Desde junho de 2024, uma série de incidentes de phishing semelhantes chamou a atenção dos especialistas em segurança. Apenas em junho, as perdas causadas por ataques relacionados ultrapassaram 55 milhões de dólares. Com o passar do tempo, esses ataques se tornaram cada vez mais frequentes, especialmente em agosto e setembro. No terceiro trimestre de 2024, os ataques de phishing tornaram-se o meio de ataque que causou as maiores perdas econômicas, com 65 ações de ataque que resultaram em mais de 243 milhões de dólares em perdas. As análises mostram que esses ataques estão muito provavelmente relacionados à notória equipe de ferramentas de phishing Inferno Drainer. A equipe havia anunciado sua "aposentadoria" no final de 2023, mas agora parece ter voltado com uma série de ataques em grande escala.

Este artigo irá analisar em profundidade os métodos típicos de atuação de grupos de phishing como Inferno Drainer e Nova Drainer, detalhando suas características comportamentais, a fim de ajudar os usuários a melhorar sua capacidade de identificação e prevenção de fraudes de phishing.

O surgimento do Scam-as-a-Service

No mundo das criptomoedas, um novo tipo de modelo de negócios malicioso está emergindo, conhecido como Scam-as-a-Service (fraude como serviço). Este modelo empacota ferramentas e serviços de fraude, oferecendo-os de forma comercializada a outros criminosos. Inferno Drainer é uma equipe representativa neste campo, tendo fraudado mais de 80 milhões de dólares entre novembro de 2022 e novembro de 2023.

O Inferno Drainer ajuda os compradores a iniciarem ataques rapidamente, fornecendo ferramentas e infraestrutura de phishing prontas para uso, incluindo front-end e back-end de sites de phishing, contratos inteligentes e contas de redes sociais. Os phishers que compram o serviço podem ficar com a maior parte do dinheiro roubado, enquanto o Inferno Drainer cobra uma comissão de 10%-20%. Este modelo reduz significativamente a barreira técnica para fraudes, tornando o crime cibernético mais eficiente e em maior escala, levando a um aumento de ataques de phishing na indústria de encriptação, especialmente entre usuários que carecem de consciência de segurança, que se tornam alvos mais fáceis.

Mecanismo de operação do Scam-as-a-Service

Para entender como funciona o Scam-as-a-Service, vamos primeiro entender o fluxo de trabalho típico de uma aplicação descentralizada (DApp). Uma DApp típica é geralmente composta por uma interface frontal (como uma página da web ou um aplicativo móvel) e contratos inteligentes na blockchain. Os usuários conectam-se à interface frontal da DApp através de uma carteira de blockchain, a página frontal gera a transação correspondente na blockchain e a envia para a carteira do usuário. O usuário, então, usa a carteira de blockchain para assinar e aprovar essa transação; uma vez que a assinatura é concluída, a transação é enviada para a rede blockchain e invoca o contrato inteligente correspondente para executar a funcionalidade necessária.

Os atacantes de phishing induzem habilmente os usuários a realizarem operações inseguras, projetando interfaces front-end e contratos inteligentes maliciosos. Eles geralmente levam os usuários a clicar em links ou botões maliciosos, enganando-os para aprovar transações maliciosas ocultas e, em alguns casos, enganando-os diretamente para revelar suas chaves privadas. Uma vez que o usuário assina essas transações maliciosas ou expõe sua chave privada, os atacantes conseguem facilmente transferir os ativos do usuário para suas próprias contas.

As táticas de phishing mais comuns incluem:

1. Front-end de projetos conhecidos falsificados: os atacantes imitam cuidadosamente o site oficial de projetos conhecidos, criando uma interface front-end que parece legítima, levando os usuários a acreditar que estão a interagir com um projeto de confiança.

2. Esquema de airdrop de tokens: os atacantes promovem amplamente nas redes sociais oportunidades extremamente atraentes como "airdrop grátis", "pré-venda antecipada" e "mintagem gratuita de NFTs", atraindo as vítimas a clicar em links e conectar suas carteiras.

3. Incidentes de hackers falsos e esquemas de recompensa: criminosos afirmam que um projeto conhecido foi atacado por hackers ou que os ativos foram congelados, e estão a oferecer compensações ou recompensas aos usuários, com o objetivo de atrair usuários para sites de phishing.

O modelo Scam-as-a-Service reduziu drasticamente a barreira técnica para fraudes de phishing. Antes disso, os atacantes precisavam preparar capital inicial em blockchain, criar um site front-end e um contrato inteligente a cada ataque. Embora a maioria dos sites de phishing sejam de má qualidade, a operação e o design da página ainda requerem um certo nível de habilidade técnica. Fornecedores de ferramentas Scam-as-a-Service, como Inferno Drainer, eliminaram completamente essas barreiras técnicas, oferecendo aos compradores que carecem das habilidades necessárias serviços para criar e hospedar sites de phishing, e extraindo lucros das fraudes.

O retorno do Inferno Drainer e o mecanismo de divisão dos lucros

No dia 21 de maio de 2024, o Inferno Drainer publicou uma mensagem de verificação de assinatura no etherscan, anunciando seu retorno e criando um novo canal no Discord. Um dos principais endereços de phishing que eles usaram é 0x0000db5c8b030ae20308ac975898e09741e70000.

Ao analisar as transações deste endereço, podemos entender o mecanismo de divisão de lucros do Inferno Drainer:

1. Inferno Drainer cria um contrato através do CREATE2. CREATE2 é uma instrução na máquina virtual Ethereum usada para criar contratos inteligentes. Permite calcular antecipadamente o endereço do contrato com base no bytecode do contrato inteligente e em um salt fixo. Inferno Drainer utiliza essa característica para calcular antecipadamente o endereço do contrato de divisão para os compradores do serviço de phishing, e cria o contrato somente após a vítima cair na armadilha, completando a transferência de tokens e a operação de divisão.

2. Chame o contrato criado, autorizando os tokens da vítima para o endereço de phishing (comprador do serviço Inferno Drainer) e para o endereço de divisão. O atacante, através de vários métodos de phishing, leva a vítima a assinar inadvertidamente uma mensagem maliciosa Permit2. Permit2 permite que os usuários autorizem a transferência de tokens por meio de assinatura, sem a necessidade de interagir diretamente com a carteira.

3. Transferir a quantidade correspondente de tokens para o endereço de divisão e para o comprador, completando a divisão. Num caso específico, o comprador recebeu 82,5% do montante ilícito, enquanto o Inferno Drainer reteve 17,5%.

É importante notar que o Inferno Drainer consegue, de certa forma, contornar algumas funcionalidades de anti-phishing das carteiras ao criar um contrato antes da divisão do loot, o que diminui ainda mais a vigilância das vítimas. Isso ocorre porque, quando a vítima aprova a transação maliciosa, o contrato ainda não foi criado, tornando impossível a análise e investigação desse endereço.

Passos simples para criar um site de phishing

Com a ajuda do Scam-as-a-Service, tornou-se excepcionalmente simples para os atacantes criar sites de phishing:

1. Entre no canal do Telegram fornecido pelo Drainer e use um comando simples para criar um domínio gratuito e o respectivo endereço IP.

2. Escolha um dos centenas de modelos fornecidos pelo robô e, em poucos minutos, você poderá gerar um site de phishing que parece profissional.

3. Procurar vítimas. Uma vez que alguém entra no site e conecta a carteira para aprovar transações maliciosas, os ativos da vítima são transferidos.

Todo o processo leva apenas alguns minutos, reduzindo significativamente os custos de crime e as barreiras tecnológicas.

Resumo e recomendações de prevenção

O retorno do Inferno Drainer trouxe enormes riscos de segurança para os usuários de encriptação. Os usuários devem estar sempre atentos ao participar de transações de encriptação e lembrar os seguintes pontos:

• Não acredite em qualquer propaganda de "dinheiro caindo do céu", como airdrops gratuitos e compensações suspeitas; confie apenas em sites oficiais ou projetos que tenham passado por auditorias profissionais.
• Verifique cuidadosamente a URL antes de conectar a carteira e esteja atento a sites que imitam projetos conhecidos. Pode usar ferramentas de consulta de domínio WHOIS para verificar a data de registro do site; sites com tempo de registro muito curto podem ser projetos fraudulentos.
• Não submeta palavras-passe ou chaves privadas a qualquer site ou aplicação suspeita. Antes de assinar mensagens ou aprovar transações na carteira, verifique cuidadosamente se envolve operações como Permit ou Approve que possam levar à perda de fundos.
• Fique atento às informações de alerta de segurança. Se descobrir que autorizou inadvertidamente tokens para um endereço de fraude, revogue a autorização rapidamente ou transfira os ativos restantes para outro endereço seguro.

Ao aumentar a consciência de segurança e tomar as medidas de precaução necessárias, os usuários podem proteger-se melhor contra os ataques de phishing cada vez mais complexos.