Die Betreiber von Inferno Drainer, einer betrügerischen Plattform, haben innerhalb eines Jahres zwischen 2022 und 2023 mehr als 16.000 einzigartige schädliche Domains erstellt. Das Ziel von Inferno Drainer war es, Benutzer dazu zu bringen, ihre Kryptowährungs-Wallets mit der gefälschten Infrastruktur der Angreifer zu verbinden, die Web3-Protokolle vortäuschten, um Opfer zur Autorisierung von Transaktionen zu verleiten. Laut dem Sicherheitsunternehmen Group-IB, haben die Betreiber von Inferno Drainer über 137.000 Opfer betrogen und dabei einen Gewinn von mehr als 87 Millionen Dollar erzielt.
Das Inferno-Drainer-Malware ist Teil eines breiteren Angebots ähnlicher Dienste, die unter dem Namen „Scam-as-a-Service“ oder „Drainer-as-a-Service“ verfügbar sind. Affiliates können diese Dienste nutzen und erhalten im Gegenzug eine Beteiligung in Höhe von 20% der erzielten Gewinne. Kunden von Inferno Drainer hatten die Möglichkeit, die Malware entweder auf ihren eigenen Phishing-Websites hochzuladen oder den Dienst des Entwicklers für die Erstellung und das Hosting von Phishing-Websites zu nutzen, entweder ohne zusätzliche Kosten oder gegen eine Gebühr von 30% der gestohlenen Vermögenswerte in einigen Fällen.
Die Aktivitäten von Inferno Drainer haben über 100 Kryptowährungsmarken vorgegaukelt und dafür über 16.000 einzigartige Domains verwendet. In einer weiteren Analyse von 500 dieser Domains stellte sich heraus, dass der JavaScript-basierte Drainer ursprünglich in einem GitHub-Repository gehostet wurde, bevor er direkt auf den Websites implementiert wurde.
Die Websites wurden auf Plattformen wie Discord und X (ehemals Twitter) verbreitet und lockten potenzielle Opfer mit kostenlosen Token (sogenannten Airdrops) und der Möglichkeit, ihre Wallets zu verbinden. Sobald die Transaktionen genehmigt wurden, wurden die Assets der Opfer abgezogen. Dabei wurden die Namen seaport.js, coinbase.js und wallet-connect.js verwendet, um sich als beliebte Web3-Protokolle wie Seaport, WalletConnect und Coinbase auszugeben und die unbefugten Transaktionen abzuschließen.
Eine typische Eigenschaft der betrügerischen Websites von Inferno Drainer war, dass Benutzer den Quellcode der Websites nicht mit Hotkeys oder dem Rechtsklick anzeigen konnten. Dies deutet darauf hin, dass die Kriminellen versuchten, ihre Skripte und illegale Aktivitäten vor ihren Opfern zu verbergen.
Obwohl Inferno Drainer seine Aktivitäten eingestellt hat, steht die Plattform als Beispiel für die erheblichen Risiken für Kryptowährungsinhaber durch betrügerische Dienste wie Drainer.