I truffatori usano Inferno Drainer per rubare 43.000 dollari agli utenti di CoinMarketCap

Un'operazione coordinata di furto di criptovalute rivolta agli utenti di CoinMarketCap è stata scoperta dopo la diffusione di immagini trapelate da un canale Telegram noto come TheCommsLeaks. L'attacco ha utilizzato un convincente prompt di connessione al portafoglio integrato nell'interfaccia di CoinMarketCap, inducendo gli utenti a cedere l'accesso ai propri portafogli. Il risultato? Oltre 43.000 dollari di fondi in criptovalute prosciugati in poche ore.

Secondo Tammy H, ricercatrice senior in materia di intelligence sulle minacce e investigatrice certificata del Dark Web presso Flare.io, un'azienda canadese di intelligence sulla criminalità informatica, l'attacco è stato effettuato utilizzando Inferno Drainer , un noto toolkit per svuotare i portafogli elettronici, collegato a campagne precedenti.

Il metodo era semplice ma efficace. Agli utenti che visitavano CoinMarketCap veniva presentato un messaggio che chiedeva loro di "Verificare il tuo portafoglio" per accedere alle funzionalità. Sembrava identico ai pop-up legittimi presenti sulla piattaforma, il che non dava agli utenti motivo di dubitare. Tuttavia, una volta connessi, i portafogli venivano silenziosamente svuotati di qualsiasi asset in essi contenuto.

Una fonte citata nella fuga di notizie ha affermato che il messaggio appariva su quasi ogni pagina del sito. "Inseritelo dove appare su ogni pagina", si leggeva in un messaggio. "La maggior parte delle persone ha le monete bloccate... nell'istante in cui visualizzano il sito".

L'attaccante sembrava concentrato sull'aumentare la visibilità e massimizzare le connessioni al wallet. Alcuni report suggeriscono che persino il pulsante di connessione abbia iniziato a funzionare male a causa di un rendering eccessivo.

Secondo l'analisi di Tommy H, il canale Telegram TheCommsLeaks ha iniziato a condividere i dettagli intorno alle 19:30 (ora locale) del 20 giugno. I messaggi includevano screenshot che mostravano una dashboard in tempo reale utilizzata dall'aggressore. Queste immagini mostravano le connessioni al wallet, i trasferimenti di token e il valore totale prosciugato in tempo reale.

I primi dati mostravano 67 tentativi andati a buon fine e oltre 1.300 connessioni al portafoglio. Il bottino aveva già superato i 21.000 dollari nella prima ondata. Al termine della campagna, il bottino finale era salito a 43.266 dollari, sottratti da 110 vittime.

Tra i token sottratti c'erano SOL, XRP, EVT e monete più piccole come PENGU e SHDW. Una transazione di 1.769 dollari in XRP era collegata a un portafoglio visibile su BscScan, che forniva una conferma pubblica del furto.

Tuttavia, il ricercatore ha osservato che non tutti i tentativi hanno avuto successo. I log del toolkit dell'attaccante hanno anche mostrato diversi tentativi falliti di svuotamento, in genere dovuti a wallet contenenti token non supportati o saldi trascurabili.

Dopo le crescenti speculazioni sulla provenienza dell'attacco da un dominio falsificato, CoinMarketCap ha affrontato la questione direttamente. In una dichiarazione pubblicata su X, l'azienda ha affermato che un'immagine doodle visualizzata sulla sua homepage aveva attivato un codice dannoso tramite una chiamata API incorporata. Questa vulnerabilità ha causato la visualizzazione del messaggio di richiesta di wallet non autorizzato per alcuni utenti.

L'azienda ha confermato che il suo team di sicurezza è intervenuto immediatamente dopo aver rilevato il problema. Il contenuto dannoso è stato rimosso e i sistemi interni sono stati aggiornati con patch per prevenire ulteriori abusi.

"Tutti i sistemi sono ora pienamente operativi e CoinMarketCap è sicuro e protetto per tutti gli utenti", ha affermato la società, aggiungendo che continua a monitorare la situazione e a fornire supporto.

Questo incidente dimostra come piccole modifiche all'interfaccia, anche quelle che riguardano qualcosa di innocuo come un doodle sulla homepage, possano essere sfruttate per causare danni su larga scala. Sebbene l'utilizzo dell'ambiente di una piattaforma legittima per distribuire prompt dannosi sia estremamente preoccupante, riflette anche la facilità con cui la fiducia nelle interfacce familiari può essere abusata.

In un altro caso segnalato da Hackread proprio la scorsa settimana, i truffatori hanno sfruttato gli annunci di ricerca per indurre gli utenti a chiamare falsi numeri di supporto mostrati su siti web reali come Apple e PayPal. Sebbene tecnicamente non correlati, entrambi i casi mostrano come gli aggressori si basino sulle supposizioni degli utenti su ciò con cui è sicuro interagire online.

Per ora, si consiglia agli utenti di evitare di collegare i wallet direttamente tramite pop-up e di verificare qualsiasi richiesta in base alle linee guida ufficiali della piattaforma. Se qualcosa sembra familiare, non significa sempre che sia sicuro.