Giới thiệu
HashDit đã theo dõi một sản phẩm Drainer As A Service (DaaS) mới trong ngành lừa đảo Crypto, tự gọi mình là Perpetual Drainer.
Thay vì cách truyền thống là đánh lừa nạn nhân truy cập vào một trang web lừa đảo / giả mạo mà các công cụ bảo mật có thể chặn lại trên cấp độ ví, nạn nhân truy cập vào một trang web lưu trữ Perpetual Drainer, nơi mà ví sẽ nhận được một yêu cầu từ một nguồn đáng tin cậy, vượt qua các kiểm tra.
Phương thức hoạt động
Perpetual Drainer sẽ chuyển hướng các nạn nhân đến một lỗ hổng XSS phản chiếu trên một nguồn đáng tin cậy, sau đó tải động một tập tin từ hạ tầng Perpetual Drainer chứa logic drainer thực sự.
Khi đoạn mã này được thực thi, nó sẽ ghi đè DOM để hiển thị một thông báo kết nối ví và khiến tất cả các yêu cầu đến tiện ích mở rộng ví xuất phát từ nguồn đáng tin cậy, thay vì nguồn độc hại.
Chi tiết kỹ thuật
Đối tác: Đây là những cá nhân hoặc tổ chức giúp phân phối công cụ độc hại.
Tập tin Main.js: Các đối tác có thể bao gồm tập tin này trên trang web của họ. Khi một người dùng truy cập vào trang web, tập tin này sẽ tự động tải một tập tin khác từ một URL cụ thể.
Điều này ngay lập tức chuyển hướng người dùng đến một trang web có lỗ hổng Cross-Site Scripting (XSS).
Tên miền XSS: Đây là một tên miền có thể trông đáng tin cậy, lỗ hổng XSS cho phép kẻ tấn công thực thi các mã độc hại trên trình duyệt của người dùng.
Drainer.js: Khi người dùng được chuyển hướng đến tên miền XSS, tập tin này (drainer.js) được tải từ một URL khác. Tập tin này là mã độc thực sự thực hiện các hành động có hại.
** Điều quan trọng cần lưu ý ở đây là mô phỏng giao dịch hoặc phân tích dữ liệu giao dịch vẫn có thể đánh dấu giao dịch độc hại này.