Introduction
HashDit a surveillé un nouveau produit Drainer As A Service (DaaS) dans l'industrie des escroqueries cryptographiques, qui se nomme Perpetual Drainer.
Au lieu de la méthode traditionnelle qui consiste à tromper une victime pour qu'elle visite un site de fraude ou d'usurpation d'identité où les outils de sécurité peuvent bloquer ces sites au niveau du portefeuille, la victime visite un site hébergeant Perpetual Drainer, où le portefeuille recevra désormais une demande d'une origine de confiance contournant les vérifications.
Mode opératoire
Perpetual Drainer redirigera les victimes vers une exploitation XSS réfléchie sur une origine de confiance, qui chargera ensuite dynamiquement un script de l'infrastructure de Perpetual Drainer contenant la logique réelle du drainer.
Lorsque ce code s'exécute, il réécrit le DOM pour afficher une invite de connexion de portefeuille et fait en sorte que toutes les demandes à l'extension de portefeuille proviennent de l'origine de confiance, plutôt que de l'origine malveillante.
Détails Techniques
Affiliés : Ce sont des individus ou des entités qui aident à distribuer l'outil malveillant.
Script Main.js : Les affiliés peuvent inclure ce script sur leurs sites Web. Lorsqu'un utilisateur visite le site, ce script chargera automatiquement un autre script depuis une URL spécifique.
Cela redirige immédiatement les utilisateurs vers un site avec une vulnérabilité de type Cross-Site Scripting (XSS).
Domaine XSS : C'est un domaine qui peut sembler digne de confiance. La vulnérabilité XSS permet à l'attaquant d'exécuter des scripts malveillants sur le navigateur de l'utilisateur.
Drainer.js : Une fois que l'utilisateur est redirigé vers le domaine XSS, ce script (drainer.js) est chargé depuis une autre URL. Ce script est le code malveillant qui effectue les actions nuisibles.
** Il est important de noter ici que la simulation de transaction ou l'analyse des données de transaction peut toujours signaler cette transaction malveillante.