Einführung
HashDit hat ein neues Drainer As A Service (DaaS)-Produkt in der Crypto Scam-Branche überwacht, das sich Perpetual Drainer nennt.
Anstatt auf die traditionelle Weise ein Opfer zu täuschen, eine Betrugs- / Identitätswebsite zu besuchen, wo Sicherheitswerkzeuge diese Seiten auf Wallet-Ebene blockieren können, besucht das Opfer eine Website, die Perpetual Drainer hostet, wo die Wallet jetzt eine Anfrage von einem vertrauenswürdigen Ursprung erhält und damit die Prüfungen umgeht.
Vorgehensweise
Perpetual Drainer wird die Opfer zu einem reflektierten XSS-Exploit auf einem vertrauenswürdigen Ursprung umleiten, der dann dynamisch ein Skript von der Perpetual Drainer-Infrastruktur lädt, das die eigentliche Drainer-Logik enthält.
Wenn dieser Code ausgeführt wird, wird das DOM umgeschrieben, um eine Wallet-Verbindungsaufforderung anzuzeigen, und alle Anfragen an die Wallet-Erweiterung stammen nun vom vertrauenswürdigen Ursprung, anstatt vom bösartigen Ursprung.
Technische Details
Partner: Dies sind Einzelpersonen oder Entitäten, die helfen, das bösartige Werkzeug zu verteilen.
Main.js-Skript: Partner können dieses Skript auf ihren Websites einfügen. Wenn ein Benutzer die Seite besucht, wird dieses Skript automatisch ein anderes Skript von einer bestimmten URL laden.
Dies leitet Benutzer sofort zu einer Seite mit einer Cross-Site-Scripting (XSS)-Schwachstelle weiter.
XSS-Domain: Dies ist eine Domain, die vertrauenswürdig erscheinen könnte. Die XSS-Schwachstelle ermöglicht es dem Angreifer, bösartige Skripte im Browser des Benutzers auszuführen.
Drainer.js: Sobald der Benutzer zur XSS-Domain umgeleitet wird, wird dieses Skript (drainer.js) von einer anderen URL geladen. Dieses Skript ist der eigentliche bösartige Code, der die schädlichen Aktionen ausführt.
** Es ist wichtig zu beachten, dass die Simulation von Transaktionen oder die Analyse von Transaktionsdaten diese bösartige Transaktion dennoch kennzeichnen kann.