数秒で暗号通貨を吸い上げるフィッシングページ「クリプトドレイナー」

編集者注:これは完全なレポートの抜粋です。 文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

Executive Summary

ナイジェリアの王子があなたの助けを必要としています。 または、同僚からメールが届き、ギフトカードを送るように緊急に要求されます。 「詐欺」や「フィッシング」などの言葉は、愚かな人を騙すだけの単純な詐欺を思い起こさせることがよくあります。 実際には、脅威アクターは、巧妙すぎてだまされないと信じているユーザーを標的にするために、洗練された戦術、技術、手順(TTP)を開発しています。

「暗号ドレイン」は、eスキマーのように機能する悪意のあるスクリプトであり、被害者の暗号資産を盗むためにフィッシング手法で展開されます。 暗号ドレインで展開されるフィッシングページは、多くの場合、人気のある暗号サービスを模倣し、これらのフィッシングページが模倣する正当なサービスでは珍しいことではない一般的なサードパーティのアプリケーションや拡張機能(MetaMaskなど)を使用します。

私たちは、一流のダークウェブフォーラムで脅威アクターによって宣伝された、すぐに使える暗号ドレインのフィッシングページを発見しました。 このフィッシングページは、非代替性トークン(NFT)を鋳造することを意図し、暗号分野で一般的に使用されているサードパーティのサービスを使用しています。 この暗号ドレイナーを分析した結果、侵害された暗号ウォレットから暗号資産を盗むために効果的に使用できると結論付けました。 暗号資産ウォレットが侵害されると、暗号資産の盗難を防ぐための保護手段は存在しません。 2022年に初めて登場して以来、暗号ドレイナーフィッシングページの人気は急上昇しており、暗号ドレイナーフィッシングページは2023年も関連性があり、効果的で、広く使用されている可能性があります。

主な判断

• 暗号ドレインは、人気のある暗号サービスを模倣したフィッシングページで使用され、無防備な被害者から暗号資産を盗みます。 フィッシングページが模倣する暗号サービスで頻繁に使用される正規の拡張機能やアプリケーションを悪用します。
• 私たちは、一流のダークウェブフォーラムで脅威アクターが宣伝した、すぐに使える暗号ドレイナーフィッシングページを分析しました。 このフィッシングページは、被害者が自分のウォレットをNFTのミントオファーに接続するように誘惑します。 被害者がNFTを鋳造しようとするとすぐに、暗号ドレインは利用可能な暗号通貨と目的のNFTを攻撃者のウォレットに吸い上げます。
• 仮想通貨ドレインプロジェクトの人気は急上昇しており、すぐに使える仮想通貨ドレインのフィッシングパッケージが増えていることで、脅威アクターが迅速かつ大規模に実行できるようになる可能性があります。

背景

ブロックチェーン技術はセキュリティを念頭に置いてゼロから設計されていますが、それでも脅威アクターが暗号資産の被害者をだまし取る機会が存在します。 「暗号ドレイン」は、暗号資産の転送を自動的に実行することにより、eスキマーと同様に機能する悪意のあるファイルです。

暗号ドレインは、人気のある暗号サービスを模倣したフィッシングページに一般的に展開されます。 仮想通貨ドレインのフィッシングページが模倣する可能性のある仮想通貨サービスの例としては、仮想通貨取引所や非代替性トークン(NFT)プラットフォームなどがあります。 重要なのは、暗号ドレイナーのフィッシングページは、模倣する暗号サービスで一般的に使用されているサードパーティのサービスや拡張機能(MetaMaskなど)を使用することが多いことです。 仮想通貨流出者のフィッシングページで正規のサービスを使用すると、フィッシングページが他の点に精通したユーザーの「詐欺リトマス試験紙」に合格する可能性が高くなる可能性があります。

図 1: Recorded Future analyzed a crypto drainer phishing page that entices victims to connect their wallets with the promise of minting NFTs (Source: Recorded Future)