「地獄を再び呼び戻す時が来た」、Crypto Drainer の消長

著者：Bitrace

暗号通貨のフィッシングリンクがソーシャルメディアに押し寄せており、その数の多さと進化の速さは、詐欺団体の背後にいる利益分配者であるDrainerによるものです。Drainerは、暗号通貨ウォレットを不正に空にするために設計されたマルウェアであり、このソフトウェアはその開発者によって貸し出されており、誰でも料金を支払ってこの悪意のあるツールを使用できます。

この記事では、代表的なDrainerがどのようにして不法者の詐欺、盗難、恐喝などの活動を助けているかを示し、実際のDrainerの被害者のケースを分析することで、ユーザーがフィッシングの脅威についての理解を深める手助けをします。

Drainerの運用モデル

Drainerの種類は多岐にわたりますが、形式は大同小異です------社会工学的手法を利用し、公式の発表やエアドロップ活動を偽装してユーザーを欺きます。

InfernoDrainerエアドロップ申請

この団体は、テレグラムチャンネルを通じてサービスを宣伝し、詐欺即サービスモデルで運営されています。開発者が詐欺師に必要なフィッシングサイトを提供し、詐欺活動を支援します。一旦被害者がフィッシングサイトのQRコードをスキャンしてウォレットを接続すると、Inferno Drainerはウォレット内で最も価値があり、移転しやすい資産をチェックし、悪意のある取引を開始します。被害者がこれらの取引を確認すると、資産は犯罪者のアカウントに移転されます。盗まれた資産の20%はInferno Drainerの開発者に、80%は詐欺師に帰属します。

出典：Group-B

この悪意のあるソフトウェアサービスを購入した詐欺団体は、主に暗号通貨の有名プロジェクトを偽装したフィッシングサイトを通じて、潜在的な被害者を欺いて詐欺取引を行います------高仮装のTwitterアカウントを利用し、公式Twitterアカウントのコメント欄に虚偽のエアドロップ申請リンクを大量に投稿し、ユーザーをサイトに誘導します。ユーザーが不注意になると、資金を失う可能性があります。（高仮装アカウント@BlasqtL2、公式アカウント@BlastL2）

PinkDrainerのソーシャルメディア攻撃

上記の悪意のあるソフトウェアの販売に加え、社会工学的攻撃もDrainerがよく使う手口です------高トラフィックの個人またはプロジェクトのDiscordやTwitterアカウントを盗み、フィッシングリンクを含む虚偽の情報を発信してユーザーの資産を盗みます。ハッカーは、Discordの管理者に悪意のあるCarl検証ボットを開かせたり、悪意のあるコードを含むブックマークを追加させたりして権限を盗みます。権限を取得した後、ハッカーは他の管理者を削除したり、悪意のあるアカウントを管理者に設定したり、メインアカウントを違反させたりすることで、攻撃プロセスを長引かせます。

"DragMe"は実際にユーザーのDiscordTokenを盗むことができる悪意のあるJSコードを含んでいます

ハッカーは盗まれたDiscordアカウントを通じてフィッシングリンクを送信し、ユーザーを悪意のあるサイトに誘導し、悪意のある署名を行わせることで資産を盗みます。この記事執筆時点で、Pink Drainerは21,131人のユーザーから85,297,091ドルを盗みました。

LockBit恐喝サービス

LockBitはロシアのランサムウェアサービス組織で、ドメインやマルウェアの開発と維持などを提供し、感染した被害者からの身代金の20%を保持します。ランサムウェアサービスの使用者は、ランサムのターゲットを見つけ、最終的にその組織に支払われる身代金の80%を得る責任があります。

アメリカ司法省によると、この団体は2019年9月に初めて登場し、世界中の数千人の被害者に対して攻撃を行い、1.2億ドル以上の身代金を要求しました。最近、アメリカはロシア人男性をLockBitランサムウェアグループの首領として起訴し、200以上の暗号通貨アカウントを凍結し、その団体に制裁を加えました。

Drainerの危害の大きさ

Bitraceが収録したPink Drainerに関連する被害者のケースを例に挙げると、被害者はフィッシングサイトをクリックして承認した後、28.7万ドル相当の暗号通貨を盗まれました。このフィッシングサイトはpacnoon.ioで、Blast公チェーンの初期にソーシャルメディアで投下され、ユーザーをエアドロップに誘導しました。公式サイトpacmoon.io（pacmoonはBlast上の有名プロジェクトで、トークンのエアドロップ形式でホットスタートしています）とわずか1文字の違いがあり、ユーザーは混同しやすいです。

被害者が提供した盗まれたハッシュに基づき、私たちはこの盗まれた取引の発起人がPink Drainerであることを発見しました。成功した後、36,200枚の$RBNがPink Drainerの資金集約アドレスに、144,900枚の$RBNがハッカーのアドレスに入金されました。見ての通り、二つの不法団体は利益を二八分けしました。Bitraceプラットフォームのデータによると、2023年3月から現在まで、この事件に関連するPink Drainerの資金集約アドレスの流れは8143.44枚の$ETH、911,000枚の$USDTに達しています。

統計によると、2023年にDrainerは324,000人の被害者から約2.95億ドルの資産を盗みました。以下の図に示すように、ほとんどのDrainerは昨年から活動を開始しましたが、すでに巨額の経済損失を引き起こしています。以下の図に示された7種類のDrainerだけで数億ドルを盗んでおり、その普及度と脅威の大きさが明らかです。

出典：Scam Sniffer

最後に

有名な団体Pink Drainerは2024年5月17日に引退を発表しました。4日後、Inferno Drainerチームは「地獄が戻る時が来た」と発表しました。Pink Drainerが休業し、Inferno Drainerが活動を開始します。1つのDrainerが退出するたびに新しいDrainerが代わりに登場し、フィッシング活動は相互に影響し合います。

不法団体が横行しており、安全な暗号環境には多方面の努力が必要です。Bitraceは新しい暗号通貨案件の詐欺手法、資金の追跡、防止策などに関する情報を引き続き提供し、ユーザーの詐欺防止意識を高めることに努めます。もし不幸にも損失を被った場合は、いつでも私たちに連絡して助けを求めてください。

参考リンク

https://drops.scamsniffer.io/post/pink-drainer-steals-3m-from-multiple-hack-events-including-openai-cto-orbiter-finance/

https://www.group-ib.com/blog/inferno-drainer/

https://krebsonsecurity.com/2024/05/u-s-charges-russian-man-as-boss-of-lockbit-ransomware-group/