Check Point Research的一份新报告揭示了“排水员即服务”网络犯罪模型的参与者Inferno Drainer的复苏和演变。这份报告揭露了地狱排水管,尽管据称关闭,不仅保持运营,而且还大幅升级了其策略,对加密用户构成了更大的威胁。

该活动以合法Web3项目网站上的邀请链接开始,将用户重定向到Discord服务器。在那里,一个假的Collab.Land机器人敦促用户“验证”他们的钱包。受害者不是通过合法的connect.collab.land进行连接,malicious而是通过一系列恶意重定向来引导到反映Collab.Land界面的钓鱼网站 – 只是这一次,最终结果是签名交易,允许攻击者完全访问钱包。

“即使是经验丰富的加密货币用户也可能降低警惕,”Check Point警告说,“因为他们希望该服务能够请求钱包签名……他们可能会本能地点击’批准’,而无需仔细检查。

Inferno Drainer的复杂程度是先进的。其网络钓鱼基础设施采用:

短命的OAuth2令牌阻止基于URL的检测Binance Smart Chain 上的 Base64 和 ROT13 编码智能合约值JSON 有效载荷上的四层 AES 加密隐藏在区块链合同中的命令与控制地址

这些策略不仅混淆了恶意代码,而且确保网络钓鱼黑名单和钱包警告仍然无效。

Inferno Drainer的后端位于Cloudflare Workers和客户部署的代理背后,保护其核心基础设施免受拆除。资金通过虚假的ERC-20代币合同,接收器合同以及受害者转移后部署的一次性使用合同进行路由 – 使得黑名单几乎不可能。

“这种策略被故意用来绕过反钓鱼措施……通过频繁部署新合同,攻击者逃避这些警告,”报告解释说。

2024年9月至2025年3月:

30,000多个钱包被抽干记录损失900多万美元一些受害者在一次交易中损失高达761,000美元

开发商保留15-20%作为佣金,其余部分归其犯罪关联公司。Inferno Drainer现已成为成熟的地下SaaS模式。

随着网络钓鱼工具包与合法服务越来越难以区分,钱包防御系统难以跟上,安全责任越来越多地取决于用户警惕和教育。