Дрей­неры — новый зах­лес­тнув­ший мир крип­товалют вид фишин­га. Он рас­тет удар­ными тем­пами и уже обо­шел ран­сомварь по рас­простра­нен­ности и объ­емам укра­ден­ного. Я попытал­ся разоб­рать­ся в осо­бен­ностях работы дрей­неров, а так­же устрой­стве вырос­шего вок­руг них рын­ка. Об этом сегод­ня и погово­рим.

Глав­ная цель ата­кующе­го в любой фишин­говой кам­пании — это под­ловить поль­зовате­ля на ошиб­ке, сде­лать так, что­бы тот выдал информа­цию, которую выдавать пос­торон­ним не дол­жен. В слу­чае с дрей­нерами — зас­тавить поль­зовате­ля дать смарт‑кон­трак­ту раз­решение вза­имо­дей­ство­вать со сво­ими средс­тва­ми.

info

В основном дрей­неры нап­равле­ны на работу с блок­чей­нами со смарт‑кон­трак­тами и ата­куют поль­зовате­лей Ethereum-подоб­ных сетей: самого Ethereum, Base, Polygon, Optimism и про­чих. Но встре­чают­ся дрей­неры для Solana, а недав­но появил­ся и дрей­нер, ори­енти­рован­ный на Bitcoin.

Пред­ставь, что ты хочешь под­клю­чить свой кошелек MetaMask на сай­те какого‑то про­екта, что­бы получить нем­ного крип­ты. Ска­жем, ты хочешь при­обрести новый токен, пока он дешев. Ты нажима­ешь кноп­ку Connect, вво­дишь свой пароль и под­писыва­ешь тран­закцию — апрув на дос­туп к кошель­ку.

Тут‑то тебя и ловит дрей­нер: дела­ет так, что­бы вмес­то легитим­ного кон­трак­та на получе­ние токенов ты под­писал вре­донос­ный смарт‑кон­тракт и тем самым дал раз­решение на тран­сфер всех сво­их средств. Получа­ется, ты сам сог­лаша­ешь­ся отдать все свои день­ги!

Как так может получить­ся? Луч­ше все­го это работа­ет на эйрдро­пах — раз­дачах новых токенов. На них сле­тает­ся мно­жес­тво жела­ющих получить нем­ного крип­ты, которая потом может вырас­ти в цене в десят­ки раз. Такие раз­дачи дей­стви­тель­но иног­да устра­ивают, что­бы про­качать тот или иной новый токен. В этот момент поль­зовате­ля гонит то, что называ­ется FOMO, — чувс­тво, что он может упус­тить выгоду.

Че­ловек в спеш­ке может не про­верить, кем соз­дана стра­ница, с которой он вза­имо­дей­ству­ет, и что кон­крет­но дела­ет смарт‑кон­тракт, раз­решение которо­му он выда­ет. Сайт же при этом может быть пол­ностью ско­пиро­ван зло­умыш­ленни­ком с нас­тояще­го, а смарт‑кон­тракт — забирать день­ги вмес­то того, что­бы их давать.

 

Дрейнеры набирают оборот

В 2024 году слу­чилось инте­рес­ное событие: дрей­неры обог­нали по тем­пам рас­простра­нения и выруч­ке обыч­ные шиф­роваль­щики. Ран­сомварь, конеч­но, про­дол­жает быть бичом круп­ного биз­неса, но ска­меры устре­мились в новые, пока не занятые ниши.

Са­мые пер­вые дрей­неры рас­простра­нялись в качес­тве скрип­тов на дар­кнет‑пло­щад­ках. По дан­ным «Лабора­тории Кас­пер­ско­го», в 2022 году было 55 уни­каль­ных форумов, на которых встре­чались дрей­неры. В 2024 году таких мес­течек было уже 129. То есть рост более чем в два раза за два года.

Рост уникальных даркнет-форумов с темами про дрейнеры
Рост уни­каль­ных дар­кнет‑форумов с темами про дрей­неры

И это толь­ко для такого спе­цифи­чес­кого и пус­товато­го, по сути, мес­та, как дар­квеб. В основном все вза­имо­дей­ствие сей­час про­исхо­дит в Telegram и Discord.

Са­мые круп­ные дрей­неры, которые были активны в 2024 году, — это Angel, Inferno, Ping, Ace, Cerberus, Nova, Medusa, MS, CryptoGrab и Venom. Из них сей­час активны в основном Angel и Ace, но зато появил­ся новый игрок — Vanilla. Пока он не очень иссле­дован, пос­коль­ку работа­ет по при­ват­ной модели: получить дос­туп к нему рядово­му ска­меру тяжело.

По дан­ным ком­пании Scam Sniffer, которая занима­ется ана­лизом видов мошен­ничес­тва в крип­товалю­тах, за 2024 год общие потери от дрей­неров сос­тавили 494 мил­лиона дол­ларов.

И это толь­ко круп­ные кей­сы взло­мов, которые уда­лось пос­читать! Пос­коль­ку дрей­неры нап­равле­ны на обыч­ных поль­зовате­лей, малень­кие кра­жи вро­де нес­коль­ких тысяч дол­ларов в эту ста­тис­тику даже не попада­ют. Так что это лишь ниж­няя гра­ница.

Сре­ди боль­ших ком­паний в 2024 году — более 330 тысяч жертв. Рекор­дная кра­жа за тот год — 55 мил­лионов дол­ларов. Все­го круп­ных мошен­ничес­ких кам­паний было око­ло 30 — в пол­тора раза боль­ше, чем в 2023 году.

В пер­вом квар­тале 2024 года дрей­неры показа­ли рост поч­ти в шесть раз. В то же вре­мя рынок ран­сомва­ри уве­личил­ся толь­ко вдвое.

Темпы роста дрейнеров по количеству украденных средств в сравнении с рансомварью
Тем­пы рос­та дрей­неров по количес­тву укра­ден­ных средств в срав­нении с ран­сомварью

Что озна­чают эти циф­ры? Из‑за прос­тоты вхо­да в эту индус­трию сюда устрем­ляют­ся мошен­ники, которые занима­лись фишин­гом по email, замани­вая на под­дель­ные стра­ницы бан­ков, и про­мыш­ляли про­чими тра­дици­онны­ми видами ска­ма.

Нап­равив свои навыки на крип­товалют­чиков, они смог­ли получить безум­ные про­фиты. Даже рядовой работя­га здесь может «зараба­тывать» от 100 тысяч дол­ларов.

Ка­жет­ся, что пара месяцев такого тру­да могут обес­печить квар­тирой, машиной и регуляр­ным отпуском в Таилан­де. Разок рис­кнул, и мож­но выходить из игры! Но, конеч­но, почувс­тво­вав вкус наживы, ник­то через два месяца из это­го биз­неса не ухо­дит.

 

Почему это просто

Ес­ли ран­сомварь нацеле­на в пер­вую оче­редь на ком­пании, то дрей­неры ата­куют прос­тых поль­зовате­лей и потен­циаль­но могут дотянуть­ся до любого, кто вза­имо­дей­ству­ет с крип­товалю­тами.

Дрей­неры ста­ли очень популяр­ными имен­но из‑за широко­го охва­та и прос­тоты перехо­да в эту область. Плюс ска­зыва­ется, что в крип­те вер­тятся серь­езные день­ги и поль­зовате­ли при­вык­ли ими лег­ко рас­поряжать­ся.

Ран­сомвар­щику при­ходит­ся свя­зывать­ся с ком­пани­ей, тор­говать­ся, орга­низо­вывать переда­чу денег и рас­шифров­ку — это доволь­но мно­го мороки. Дрей­нер же кра­дет день­ги сра­зу.

Как и мно­гие дру­гие виды ска­ма, дрей­неры рас­простра­няют­ся по модели SaaS — Software-as-a-Service. Их даже называ­ют DaaS, то есть Drainer-as-a-Service.

Про­исхо­дит и харак­терное раз­деление работы. Есть раз­работ­чики (те, кто дела­ет мал­варь) и вор­керы (рядовые работ­ники), а так­же рек­рутеры, спе­циалис­ты по нагону тра­фика и пос­тавщи­ки самых раз­ных сопутс­тву­ющих услуг.

Глав­ную задачу, конеч­но, выпол­няют раз­работ­чики: они соз­дают вре­донос­ное ПО, дела­ют его более удоб­ным для исполь­зования, лег­ким в раз­верты­вании и мас­шта­биро­вании. В целом, если отвлечь­ся от кри­миналь­ной сущ­ности, это обыч­ный ИТ‑про­дукт.

 

Как создается кампания

Что дела­ет зло­умыш­ленник, что­бы такое про­вер­нуть? Вот что ему нуж­но, что­бы устро­ить фишин­говую кам­панию:

  • до­мены для будущих сай­тов, похожие по написа­нию на наз­вание копиру­емо­го про­екта;
  • хос­тинг — мес­то, где будет помещен сайт;
  • лен­динг — стра­ница, похожая на легитим­ный про­ект;
  • код дрей­нера (как пра­вило, это JS-код, который будет хра­нить­ся на сай­те);
  • па­нель управле­ния, которая поз­волит знать, сколь­ко поль­зовате­лей уда­лось заманить на стра­ницу, и отсле­живать их поведе­ние;
  • средс­тва собс­твен­ной безопас­ности: VPN, Proxy, SockPuppet-акка­унты.

Про­фес­сиональ­ные зло­умыш­ленни­ки обыч­но ста­вят пол­ноцен­ный C&C-сер­вер, поз­воля­ющий кон­тро­лиро­вать поведе­ние дрей­нера.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 1 комментарий
    Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии