StepDrainer drena billeteras de criptomonedas en más de 20 redes

Una herramienta para robar criptomonedas llamada StepDrainer está drenando dinero de carteras en Ethereum, BNB Chain, Arbitrum, Polygon y al menos 17 otras redes.

StepDrainer funciona como un kit de malware como servicio. Utiliza ventanas emergentes falsas pero realistas de billeteras Web3 para engañar a las personas y que aprueben transferencias. Algunas de esas pantallas están diseñadas para parecerse a conexiones de billeteras Web3Modal.

Una vez que alguien conecta su billetera, StepDrainer busca primero los tokens más valiosos y los envía automáticamente a carteras controladas por los atacantes, según LevelBlue.

StepDrainer hace un uso indebido de herramientas de contratos inteligentes

StepDrainer hace un uso indebido de herramientas reales de contratos inteligentes como Seaport y Permit v2 para mostrar ventanas emergentes de aprobación de billetera que parecen normales. Pero los detalles dentro de esas ventanas emergentes son falsos.

En un caso, investigadores de ciberseguridad encontraron que las víctimas veían un mensaje falso que decía que estaban recibiendo “+500 USDT,” haciendo que la aprobación pareciera segura.

StepDrainer carga su código dañino mediante scripts cambiantes y obtiene su configuración de cuentas descentralizadas en la cadena.

Esa configuración ayuda a los atacantes a evadir las herramientas de seguridad normales porque el código dañino no está almacenado en un lugar fijo donde pueda ser escaneado fácilmente.

StepDrainer no es solo el proyecto de una persona. Los investigadores dijeron que existe un mercado clandestino desarrollado que vende kits de drenaje listos, facilitando que muchos atacantes añadan funciones de robo de billeteras a estafas que ya realizan.

EtherRAT roba criptomonedas de usuarios de Windows

Los investigadores también encontraron otro malware además de StepDrainer, llamado EtherRAT. Este apunta a Windows a través de una versión falsa de la herramienta de administración de red Tftpd64.

Según LevelBlue, EtherRAT oculta Node.js dentro de un instalador falso, asegura que permanezca en la computadora mediante el registro de Windows y usa PowerShell para verificar el sistema.

EtherRAT primero apuntó a Linux. Ahora está llevando trucos de malware y robo de criptomonedas a Windows.

EtherRAT funciona silenciosamente en segundo plano. Verifica cosas como herramientas antivirus, configuraciones del sistema, detalles del dominio y hardware antes de comenzar a robar.

Según un informe reciente de Cryptopolitan, en las últimas 24 horas se han drenado más de $800K carteras de Ethereum. El atacante drenó más de en activos criptográficos y luego intercambió los fondos a través de ThorChain.

Muchas de las carteras drenadas han estado inactivas por más de 7 años, según la investigación en cadena de Wazz. Los fondos drenados fueron dirigidos por una sola dirección de cartera controlada por el atacante.

Los investigadores de ciberseguridad aconsejan a los usuarios que conectan billeteras a sitios desconocidos verificar el dominio, leer los detalles de la transacción antes de firmar y eliminar cualquier aprobación ilimitada de tokens.

Si estás leyendo esto, ya estás un paso adelante. Quédate así con nuestro boletín.