StepDrainerは20以上のネットワークにわたる暗号通貨ウォレットを吸い出します

ステップドレイナーと呼ばれる暗号通貨盗難ツールが、イーサリアム、BNBチェーン、アービトラム、ポリゴン、そして少なくとも17の他のネットワークから資金を吸い上げています。

ステップドレイナーはマルウェア・アズ・ア・サービスキットとして動作します。偽でありながらリアルなWeb3ウォレットのポップアップを使用して、人々に送金の承認を騙し取ります。これらの画面の中にはWeb3Modalウォレット接続のように見せかけたものもあります。

誰かがウォレットを接続すると、ステップドレイナーは最も価値の高いトークンを優先的に探し、自動的に攻撃者が管理するウォレットへ送金します。これはLevelBlueの報告によるものです。

ステップドレイナーはスマートコントラクトツールを悪用します

ステップドレイナーはSeaportやPermit v2などの実際のスマートコントラクトツールを悪用し、正常に見えるウォレット承認ポップアップを表示します。しかし、そのポップアップ内の詳細は偽物です。

あるケースでは、サイバーセキュリティ研究者が被害者に「+500 USDT」を受け取っているという偽のメッセージを見せ、承認を安全に見せかけていたことが判明しました。

ステップドレイナーは、スクリプトの変更や分散型オンチェーンアカウントからの設定取得を通じて有害なコードを読み込みます。

この設定により、攻撃者は通常のセキュリティツールを回避できます。なぜなら、有害なコードは一箇所に固定されておらず、簡単にスキャンされにくいためです。

ステップドレイナーは一人の個人のプロジェクトだけではありません。研究者たちは、既製のドレイナーキットを販売する地下市場が発展しており、多くの攻撃者が既存の詐欺にウォレット盗難機能を追加しやすくしていると指摘しています。

EtherRATはWindowsユーザーから暗号資産を吸い上げる

研究者たちは、ステップドレイナー以外にももう一つのマルウェア、EtherRATを発見しました。これは、偽のTftpd64ネットワーク管理ツールを通じてWindowsを標的としています。

LevelBlueによると、EtherRATはNode.jsを偽インストーラー内に隠し、Windowsレジストリを通じてコンピュータに常駐させ、PowerShellを使ってシステムを監視します。

EtherRATは最初にLinuxを標的にしていましたが、今ではマルウェアのトリックと暗号資産の盗難をWindowsに持ち込んでいます。

EtherRATは静かにバックグラウンドで動作し、ウイルス対策ツールやシステム設定、ドメイン情報、ハードウェアの状態などを確認した後に盗みを始めます。

最近のCryptopolitanの報告によると、過去24時間で500以上のイーサリアムウォレットが流出し、攻撃者は$800K 以上の暗号資産を吸い上げ、その後ThorChainを通じて資金をスワップしました。

流出した多くのウォレットは7年以上も放置されていたと、オンチェーン調査のWazzは指摘しています。流出した資金は、攻撃者が管理する単一のウォレットアドレスに送られていました。

サイバーセキュリティ研究者は、未知のサイトにウォレットを接続するユーザーに対し、ドメインの確認、署名前の取引詳細の確認、無制限のトークン承認の解除を推奨しています。

もしこれを読んでいるなら、あなたはすでに一歩リードしています。私たちのニュースレターとともにそのまま進みましょう。