Мошенники ‘MS Drainer’ использовали рекламу Google, чтобы получить 59 миллионов долларов в криптовалюте

Мошенники использовали сервис для слива кошельков под названием “MS Drainer”, чтобы выкачать около $ 59 млн криптовалюты у жертв за последние девять месяцев, согласно отчету от 21 декабря на X (ранее Twitter) от платформы блокчейн-безопасности Scam Sniffer.

 Мошенники использовали рекламу Google, чтобы нацеливать жертв на поддельные версии популярных криптовалютных сайтов, включая Zapper, Lido, Stargate, DefiLlama, Orbiter Finance и Radient, говорится в отчете.

1 / Предупреждение: "Вымогатель кошельков" был связан с фишинговыми кампаниями в Google Search и X ads, которые за 9 месяцев отняли около 58 миллионов долларов у более чем 63 тысяч жертв. pic.twitter.com/ye3ob2uTtz

— Анализатор мошенничества | Web3 Anti-Scam (@realScamSniffer) 21 декабря 2023 г.

Сливы кошельков - это протоколы блокчейна, которые позволяют мошенникам передавать криптовалюту от жертвы злоумышленнику без их согласия, обычно используя процесс утверждения токенов. Разработчики обычно взимают процент от прибыли в обмен на использование своего программного обеспечения для слива, и эта плата взимается с помощью смарт-контрактов, что делает ее невозможной.

Мошенникам впервые стало известно о MS Drainer в марте.  В то время команда платформы безопасности SlowMist помогла в расследовании.  В июне сетевой сыщик ZachXBT предоставил дополнительные доказательства, раскрыв фишинговую аферу под названием “Порядковые пузыри”, которая была связана с трайнером.  Следователи обнаружили девять различных фишинговых объявлений в Google, 60% из которых использовали вредоносную программу.

При обычных обстоятельствах Google использует системы аудита, чтобы предотвратить публикацию фишинговой рекламы. Однако Scam Sniffer обнаружил, что мошенники использовали “тактику регионального таргетинга и переключения страниц, чтобы обойти аудит рекламы, усложняя процесс проверки” и позволяя своей рекламе проходить через системы контроля качества Google.

Мошенники также использовали веб-редиректы, чтобы обмануть пользователей Google, заставив их думать, что ссылки ведут на официальные веб-сайты. Например, мошеннический сайт cbridge.ceiler.network, который содержит неправильное написание слова “Celer”, был замаскирован под правильный URL: cbridge.celer.network. Несмотря на правильное написание в объявлении, ссылка, тем не менее, перенаправляла пользователя на мошеннический сайт с неправильным написанием.

Scam Sniffer сообщил, что обнаружил 10 072 поддельных сайта, которые использовали MS Drainer. Активность drainer достигла пика в ноябре и с тех пор снизилась почти до нуля. В ходе своей деятельности они украли криптовалюту на сумму 58,98 миллиона долларов у более чем 63 000 жертв, согласно информационной панели Dune Analytics, которая была настроена для отслеживания этого.

Дальнейшее расследование показало, что разработчик MS Drainer использовал необычную маркетинговую стратегию. В то время как большинство провайдеров, занимающихся сливом кошельков, взимают процент с прибыли мошенников, этот был продан на форумах за фиксированную плату в размере $ 1499,99. Если мошеннику требовались дополнительные функции, разработчик предоставлял им дополнительные “модули” за $ 699,99, $ 999,99 или аналогичные суммы.

Слив кошельков стал серьезной проблемой в экосистеме Web3. 26 ноября разработчик “Inferno” Drainer заявил, что прекращает работу после того, как успешно украл более 80 миллионов долларов у жертв за время существования программного обеспечения. В марте аналогичное объявление о выходе на пенсию сделал разработчик “Monkey Drainer”, который к тому моменту успешно украл около 13 миллионов долларов.