.
Os malfeitores que visam contas do Discord e do Twitter roubaram mais de US$ 3,3 milhões em criptomoedas de 2.300 vítimas até agora em uma campanha contínua que começou em abril e registrou o maior pico de atividade no início deste mês.
De acordo com o equipamento antifraude da Web 3.0 ScamSniffer, criminosos da equipe do Pink Drainer se passando por jornalistas de fontes conhecidas de notícias criptográficas, incluindo Decrypt e Cointelegraph, contataram as vítimas e entrevistaram algumas delas. O processo levou de um a três dias e, eventualmente, levou a um processo de autenticação know-your-customer (KYC) e, em seguida, ao comprometimento.
Os alvos recentes do Pink Drainer incluem OpenAI CTO Mira Murati, empresa de aplicativos de cadeia cruzada Evmos, Orbiter Finance (ponte descentralizada de rollup cruzado) e Pika Protocol (troca de troca perpétua).
“Os hackers enviam links de phishing por meio de contas do Discord às quais eles obtiveram acesso”, escreveram pesquisadores do ScamSniffer em um relatório. “Muitos usuários abriram sites maliciosos por engano e assinaram assinaturas maliciosas, resultando na perda de seus ativos”.
Eles observaram que nos últimos meses houve um número crescente de relatórios dispersos sobre “eventos hackeados” nos sites de mídia social Discord e Twitter. Por meio de uma análise de blockchains como Mainnet, Arbitrum, BNB, Polygon e Optimism, Scam Sniffer descobriu que quase todos os ataques do Discord no mês passado foram ligado ao mesmo grupo de ameaças.
“Ao analisar os sites maliciosos criados pelo Pink Drainer no mês passado, descobrimos que muitos hacks do Discord estão relacionados a eles”, escreveram os pesquisadores.
Todas as coisas criptográficas continuam a ser de grande interesse para os grupos de ameaças. De acordo com a empresa de análise de blockchain Chainalysis, US$ 3,8 bilhões em cripto foi roubado em 2022, um salto em relação aos US$ 3,3 bilhões roubados no ano anterior.
A discórdia se tornou um alvo popular. Em maio, o sistema de um provedor de serviços terceirizado foi comprometido e os dados expostos na violação incluíam endereços de e-mail de usuários, mensagens de atendimento ao cliente e anexos.
No caso do Pink Drainer, os criminosos contam com o padrão atual de muitos crimes cibernéticos: engenharia social. Eles se passam por jornalistas, entrevistam alvos e passam para o processo KYC, que pode incluir a incorporação de técnicas de phishing relacionadas ao Discord.
Em alguns casos, os administradores do Discord foram instruídos a abrir o que acabou sendo uma verificação maliciosa do Carl – um Carl-bot é uma ferramenta legítima usada pelos membros do Discord – e adicionar marcadores que incluíam código malicioso. Um botão “Arraste-me” na página continha um código JavaScript malicioso que rouba os tokens de autenticação do Discord do usuário.
Com o token em mãos, o grupo de ameaças pode acessar a conta sem precisar roubar as credenciais do usuário, como senhas, ou se preocupar com políticas de autenticação multifator (MFA).
Depois de obter as permissões, os malfeitores passam a estabelecer persistência nos ataques, incluindo a remoção de outros administradores de conta e tornando-se o administrador, permitindo que continuem roubando dados.
“Essas etapas dificultarão a exclusão dessas mensagens de phishing do Discord Server”, escreveram os pesquisadores.
O ScamSniffer pegou o Pink Drainer quando seus bots de monitoramento on-chain detectaram que alguém perdeu quase US$ 320.000 em tokens não fungíveis (NFTs) roubados. A empresa conseguiu vincular esse ataque a outras vítimas do Pink Drainer.
“O endereço que transferiu os bens da vítima foi resolvido pink-drainer.eth algumas horas depois, por isso ligamos [the group] Escorredor rosa”, escreveram eles. ®
.
