国际网络安全公司Group-IB 报告了 现已解散的 Inferno Drainer 组织的活动，该组织在 2022 年至 2023 年间创建了超过 16000 个欺诈域名。

攻击者使用高质量的网络钓鱼页面来吸引用户将他们的加密货币钱包连接到诈骗者的基础设施。它使用虚假的Web3协议来欺骗受害者授权交易。

Inferno Drainer 活跃于 2022 年 11 月至 2023 年 11 月，通过诈骗超过 137,000 名受害者，非法赚取超过 8700 万美元。此恶意软件包是通过 Drainer 即服务 ( DaaS ) 模型提供的各种类似产品的一部分，并收取附属公司收入 20% 的版税。

Inferno Drainer 客户可以将恶意软件上传到他们的网络钓鱼网站，或利用开发人员创建和托管此类网站 – 有时仅获得被盗资产的 30%。

对其中 500 个恶意域的分析发现，基于JavaScript 的恶意软件最初托管在GitHub上，然后直接集成到网站中。这些网站随后通过Discord和X *等平台传播，向受害者提供免费代币（称为“空投”）并连接他们的钱包，之后当交易获得批准时，资产就会被泄露。

诈骗者最近正是利用这些免费代币引诱信息安全公司Mandiant的订阅者，该公司的个人资料于 1 月初遭到黑客攻击 ，并被攻击者 用来谋取私利。

预计黑客官方账户的尝试将会增加，因为声称来自权威人士的消息可以激发信心并诱骗受害者点击链接，将他们的积蓄交给攻击者。

在攻击中，诈骗者使用“seapport.js”、“coinbase.js”和“wallet-connect.js”等脚本名称来伪装成流行的 Web3 协议Seaport、Coinbase和WalletConnect，以进行未经授权的交易。

Group-IB 分析师指出，Inferno Drainer 网络钓鱼网站的一个典型特征是无法使用热键或右键单击打开网站的源代码。这表明犯罪分子试图向受害者隐藏他们的脚本和非法活动。

Group-IB 还表明，Inferno Drainer 的成功可能会引发新的 Drainer 的创建，并增加带有模仿 Web3 协议的欺诈性脚本的网站数量。

专家还强调，尽管 Inferno Drainer 活动已经停止，但这种恶意操作的影响给加密货币所有者带来了严重风险，因为此类攻击方法只会不断改进。