Introducere
HashDit a monitorizat un nou produs Drainer As A Service (DaaS) în industria escrocheriilor crypto, care se numesc Perpetual Drainer.
În locul metodei tradiționale de a păcăli o victimă să viziteze un site de escrocherie / impersonare unde uneltele de securitate pot bloca aceste site-uri la nivelul portofelului, victima vizitează un site care găzduiește Perpetual Drainer, unde portofelul va primi acum o solicitare dintr-o sursă de încredere, ocolind verificările.
Modus operandi
Perpetual Drainer va redirecționa victimele către un exploit XSS reflecționat pe o sursă de încredere, care apoi încarcă dinamic un script din infrastructura Perpetual Drainer care conține logica reală a drainer-ului.
Când acest cod se execută, rescrie DOM-ul pentru a afișa un prompt de conectare a portofelului și face ca toate cererile către extensia portofelului să provină din originea de încredere, mai degrabă decât din originea malițioasă.
Detalii Tehnice
Afiliați: Aceștia sunt indivizi sau entități care ajută la distribuirea instrumentului malițios.
Main.js Script: Afiliații pot include acest script pe site-urile lor. Când un utilizator vizitează site-ul, acest script va încărca automat un alt script dintr-un URL specific.
Aceasta redirecționează imediat utilizatorii către un site cu o vulnerabilitate Cross-Site Scripting (XSS).
XSS Domain: Aceasta este un domeniu care ar putea părea de încredere. Vulnerabilitatea XSS permite atacatorului să execute scripturi malițioase pe browserul utilizatorului.
Drainer.js: Odată ce utilizatorul este redirecționat către domeniul XSS, acest script (drainer.js) este încărcat dintr-un alt URL. Acest script este codul malițios real care îndeplinește acțiunile dăunătoare.
** Este important să menționăm aici că simularea tranzacțiilor sau analiza datelor tranzacțiilor pot încă să marcheze această tranzacție malițioasă.