Revelando la industrialización de los ataques de phishing en el mundo de la encriptación

Desde junio de 2024, una serie de incidentes de ataques de phishing similares ha llamado la atención de los expertos en seguridad. Solo en el mes de junio, las pérdidas causadas por ataques relacionados superaron los 55 millones de dólares. A medida que pasaba el tiempo, estos ataques se intensificaron, y en agosto y septiembre ocurrieron con más frecuencia. En el tercer trimestre de 2024, los ataques de phishing se convirtieron en el medio de ataque que causó la mayor pérdida económica, con 65 acciones de ataque que causaron más de 243 millones de dólares en pérdidas. Los análisis muestran que estos ataques están muy probablemente relacionados con el infame equipo de herramientas de phishing Inferno Drainer. Este equipo había anunciado su "jubilación" a finales de 2023, pero ahora parece haber regresado, lanzando una serie de ataques masivos.

Este artículo analizará en profundidad los métodos típicos de operación de grupos de phishing como Inferno Drainer y Nova Drainer, describiendo detalladamente sus características de comportamiento, para ayudar a los usuarios a mejorar su capacidad de identificar y prevenir fraudes de phishing.

La aparición del Scam-as-a-Service

En el mundo de las criptomonedas, está surgiendo un nuevo tipo de modelo comercial malicioso llamado Scam-as-a-Service (estafa como servicio). Este modelo empaqueta herramientas y servicios de estafa y los ofrece de manera comercial a otros criminales. Inferno Drainer es un equipo representativo en este campo, y durante el período de noviembre de 2022 a noviembre de 2023, su monto de estafa superó los 80 millones de dólares.

Inferno Drainer ayuda a los compradores a lanzar ataques rápidamente proporcionando herramientas de phishing y infraestructura listas para usar, incluyendo el front-end y back-end de sitios web de phishing, contratos inteligentes y cuentas de redes sociales. Los phishers que compran el servicio pueden retener la mayor parte de las ganancias mal habidas, mientras que Inferno Drainer cobra una comisión del 10%-20%. Este modelo ha reducido significativamente la barrera técnica para el fraude, haciendo que el crimen cibernético sea más eficiente y escalable, lo que ha llevado a una proliferación de ataques de phishing en la industria de la encriptación, especialmente entre los usuarios que carecen de conciencia sobre la seguridad, quienes son más propensos a convertirse en objetivos de ataque.

Mecanismo de operación de Scam-as-a-Service

Para entender cómo funciona el Scam-as-a-Service, primero debemos conocer el flujo de trabajo típico de una aplicación descentralizada (DApp). Una DApp típica generalmente consta de una interfaz frontal (como una página web o una aplicación móvil) y contratos inteligentes en la blockchain. Los usuarios se conectan a la interfaz frontal de la DApp a través de una billetera de blockchain, la página frontal genera la transacción correspondiente en la blockchain y la envía a la billetera del usuario. Luego, el usuario utiliza la billetera de blockchain para firmar y aprobar la transacción, una vez completada la firma, la transacción se envía a la red de blockchain y se invoca el contrato inteligente correspondiente para ejecutar la función requerida.

Los atacantes de phishing inducen hábilmente a los usuarios a realizar operaciones inseguras mediante el diseño de interfaces frontales maliciosas y contratos inteligentes. A menudo, guían a los usuarios a hacer clic en enlaces o botones maliciosos, engañando a los usuarios para que aprueben transacciones maliciosas ocultas, e incluso en algunos casos, engañan directamente a los usuarios para que revelen sus claves privadas. Una vez que los usuarios firman estas transacciones maliciosas o exponen sus claves privadas, los atacantes pueden transferir fácilmente los activos de los usuarios a sus propias cuentas.

Las técnicas de phishing más comunes incluyen:

1. Frontend de proyectos conocidos falsificados: los atacantes imitan cuidadosamente el sitio web oficial de proyectos conocidos, creando una interfaz frontal que parece legítima, haciendo que los usuarios crean que están interactuando con un proyecto de confianza.

2. Estafa de airdrop de tokens: los atacantes promocionan en las redes sociales oportunidades muy atractivas como "airdrops gratuitos", "preventa anticipada", "minting gratuito de NFT", engañando a las víctimas para que hagan clic en enlaces y conecten sus billeteras.

3. Eventos falsos de hackeo y estafas de recompensas: los delincuentes afirman que un conocido proyecto ha sido objeto de un ataque hacker o que sus activos han sido congelados, y están otorgando compensaciones o recompensas a los usuarios para atraerlos a sitios web de phishing.

El modelo de Scam-as-a-Service ha reducido drásticamente la barrera técnica para el phishing. Antes, los atacantes necesitaban preparar capital inicial en la cadena, crear un sitio web frontend y un contrato inteligente para cada ataque. Aunque la mayoría de los sitios de phishing son de mala calidad, la operación y el diseño de la página aún requieren ciertas habilidades técnicas. Proveedores de herramientas como Inferno Drainer han eliminado por completo estas barreras técnicas, ofreciendo a los compradores sin las habilidades adecuadas servicios para crear y alojar sitios de phishing, y extrayendo ganancias de los fraudes.

El regreso de Inferno Drainer y el mecanismo de reparto de botín

El 21 de mayo de 2024, Inferno Drainer publicó un mensaje de verificación de firma en etherscan, anunciando su regreso y creando un nuevo canal de Discord. Una de las principales direcciones de phishing que utilizaron es 0x0000db5c8b030ae20308ac975898e09741e70000.

A través del análisis de las transacciones de esta dirección, podemos entender el mecanismo de reparto de botín de Inferno Drainer:

1. Inferno Drainer crea un contrato a través de CREATE2. CREATE2 es una instrucción en la máquina virtual de Ethereum que se utiliza para crear contratos inteligentes. Permite calcular de antemano la dirección del contrato según el bytecode del contrato inteligente y un salt fijo. Inferno Drainer aprovecha esta característica para calcular de antemano la dirección del contrato de reparto para los compradores de servicios de phishing, y una vez que la víctima cae en la trampa, se crea el contrato para completar la transferencia de tokens y la operación de reparto.

2. Llamar al contrato creado, aprobando los tokens de la víctima a la dirección de phishing (comprador del servicio Inferno Drainer) y a la dirección de reparto. El atacante, a través de varios métodos de phishing, guía a la víctima a firmar inadvertidamente un mensaje malicioso de Permit2. Permit2 permite a los usuarios autorizar la transferencia de tokens mediante firma, sin necesidad de interactuar directamente con la billetera.

3. Transferir los tokens en la proporción correspondiente a la dirección de distribución y al comprador, completando así la distribución. En un caso concreto, el comprador recibió el 82.5% del botín, mientras que Inferno Drainer retuvo el 17.5%.

Es importante señalar que Inferno Drainer, mediante la creación de contratos antes de la división del botín, puede eludir en cierta medida algunas funciones de anti-phishing de las billeteras, reduciendo aún más la vigilancia de las víctimas. Porque cuando la víctima aprueba la transacción maliciosa, el contrato ni siquiera se ha creado, lo que hace que cualquier análisis e investigación sobre esa dirección sea imposible.

Pasos sencillos para crear un sitio de phishing

Con la ayuda de Scam-as-a-Service, a los atacantes les resulta excepcionalmente fácil crear sitios web de phishing:

1. Entra en el canal de Telegram proporcionado por Drainer, y con un simple comando podrás crear un dominio gratuito y la dirección IP correspondiente.

2. Selecciona uno de los cientos de plantillas que ofrece el robot y, en unos minutos, podrás generar un sitio web de phishing que parece profesional.

3. Buscar víctimas. Una vez que alguien ingresa al sitio web y conecta su billetera para aprobar transacciones maliciosas, los activos de la víctima serán transferidos.

Todo el proceso solo toma unos minutos, lo que reduce significativamente el costo del crimen y la barrera técnica.

Resumen y recomendaciones de prevención

El regreso de Inferno Drainer ha traído enormes riesgos de seguridad para los usuarios de encriptación. Al participar en transacciones de encriptación, los usuarios deben mantenerse alerta y recordar los siguientes puntos:

• No confíes en ninguna propaganda de "regalos caídos del cielo", como airdrops gratuitos sospechosos o compensaciones; solo confía en los sitios web oficiales o en proyectos que hayan recibido servicios de auditoría profesional.
• Verifique cuidadosamente la URL antes de conectar su billetera y esté alerta ante sitios web que imitan proyectos conocidos. Puede utilizar herramientas de consulta de dominios WHOIS para ver la fecha de registro del sitio web; los sitios con fechas de registro muy cortas son muy probablemente proyectos fraudulentos.
• No envíe su frase de recuperación o clave privada a ningún sitio web o aplicación sospechosa. Antes de que la billetera solicite firmar un mensaje o aprobar una transacción, verifique cuidadosamente si implica operaciones como Permit o Approve que puedan resultar en la pérdida de fondos.
• Preste atención a la información de advertencia de seguridad. Si descubre que ha autorizado tokens a una dirección de estafa por error, retire la autorización a tiempo o transfiera los activos restantes a otra dirección segura.

A través de aumentar la conciencia de seguridad y tomar las medidas preventivas necesarias, los usuarios pueden protegerse mejor contra los ataques de phishing cada vez más complejos.