La división de Inteligencia de Amenazas de Check Point Software Technologies, conocida como Check Point Research, ha detectado el retorno de uno de los delincuentes más amenazantes del cibercrimen financiero: Inferno Drainer. A pesar de haber declarado su final en 2023, regresa al escenario con métodos más avanzados y una organización operativa que ha sustraído millones en criptomonedas.
En un periodo de apenas seis meses, Inferno Drainer ha logrado vaciar más de 30.000 billeteras digitales en más de 30 cadenas de bloques, causando pérdidas individuales que alcanzan hasta 761.000 dólares por cada operación. La suma total de las estafas asociadas a esta campaña podría exceder los 250 millones de dólares.
Inferno Drainer opera como un “Drainer-as-a-Service” (DaaS), un esquema en el cual los creadores del malware arrendan conjuntos de herramientas de ataque a afiliados. Dichos conjuntos contienen infraestructura para phishing, scripts a medida y asistencia en tiempo real. Su enfoque industrial y nivel técnico indican una nueva etapa de fraude digital en el entorno cripto.
La última edición incluye mejoras sofisticadas:
- Cadena de comandos y control (C&C) encriptados y almacenados a través de Binance Smart Chain.
- Contratos inteligentes temporales, los cuales se autodestruyen después de ejecutar una transacción para evitar su detección y bloqueo.
- Estrategias de evasión que utilizan proxies seguros y sistemas OAuth2, elaboradas para burlar detectores en navegadores y billeteras.
- Cifrado intensivo con AES multicapa y ofuscación avanzada, con la finalidad de disimular el código malicioso ante analistas e investigadores.
Los enlaces de invitación a Discord son secuestrados por cibercriminales o se lleva a cabo la suplantación de bots populares como Collab.Land, lo que dirige a los usuarios a pantallas fraudulentas que simulan los procedimientos de verificación auténticos. La pantalla engañosa reproduce los verdaderos procesos de verificación, pero cuando el usuario confirma una transacción, sus activos se desvanecen.
- Engañadas son la mayoría de las víctimas para conseguir la aprobación de contratos inteligentes maliciosos.
- A través de exploits de “Permit2”, algunas sufren afectaciones que permiten el acceso a tokens sin necesidad de realizar una transacción de aprobación adicional.
- Sin darse cuenta, otras envían tokens a direcciones de contratos inteligentes preconfigurados, sin que las billeteras tengan tiempo de alertarlos.
“Esta iniciativa evidencia de qué manera el cibercrimen ha llegado a alcanzar dimensiones industriales”, declara Eli Smadja, Gerente del Grupo en Check Point Software. “Inferno Drainer no solo se dedica a sustraer: actúa como una empresa emergente delictiva, con afiliaciones, asistencia técnica y actualizaciones regulares. El ecosistema de las criptomonedas debe responder ante amenazas que son tan persistentes y complejas”.
Se sugiere por parte de Check Point Research implementar las siguientes acciones de prevención:
- Siempre revisar las URLs, evitando enlaces en plataformas de redes sociales o Discord.
- Emplear billeteras temporales al interactuar con proyectos nuevos.
- Verificar que exista el símbolo de “Aplicación verificada” en los bots de Discord.
- Examinar detenidamente cada solicitud de firma en la billetera antes de dar su aprobación.
- Incluir herramientas como Harmony Browse y soluciones de protección de endpoints con inteligencia de amenazas en tiempo real.
