Hunderttausende Dollar Wert von Solana-Kryptowährungsvermögen in jüngsten CLINKSINK Drainer-Kampagnen gestohlen
Seit Dezember 2023 haben zahlreiche Akteure Kampagnen durchgeführt, die den CLINKSINK Drainer nutzen, um Gelder und Tokens von Solana (SOL) Kryptowährungsbenutzern zu stehlen. Die identifizierten Kampagnen umfassten mindestens 35 Partner-IDs, die mit einem gemeinsamen als Drainer-as-a-Service (DaaS) fungierenden Dienst in Verbindung stehen, der CLINKSINK verwendet. Der/die Betreiber dieses DaaS stellen den Partnern die Drainer-Skripte zur Verfügung, im Austausch gegen einen Prozentsatz der gestohlenen Gelder, in der Regel etwa 20%. Wir schätzen den Gesamtwert der von Partnern in diesen aktuellen Kampagnen gestohlenen Vermögenswerte auf mindestens 900.000 USD.
Überblick über CLINKSINK Drainer-Kampagnen
In einigen kürzlich beobachteten Kampagnen nutzen Bedrohungsakteure soziale Medien und Chat-Anwendungen wie X und Discord, um kryptowährungsbasierte Phishing-Seiten zu verteilen, die Opfer dazu verleiten sollen, mit dem CLINKSINK Drainer zu interagieren. Die beobachteten CLINKSINK-Phishing-Domains und -Seiten haben eine Vielzahl von gefälschten Token-Airdrop-Themenködern verwendet, die sich als legitime Kryptowährungsressourcen ausgeben, wie Phantom, DappRadar und BONK.
Wenn ein Opfer eine dieser Phishing-Seiten besucht, wird es dazu verleitet, seine Wallet zu verbinden, um einen Token-Airdrop zu beanspruchen. Nachdem das Opfer seine Wallet verbunden hat, wird es aufgefordert, eine Transaktion zum Drainer-Service zu signieren, was diesem erlaubt, Gelder vom Opfer abzuziehen.
Erste Analyse von CLINKSINK
Die analysierte CLINKSINK-Datei ist durch einen unbekannten JavaScript-Obfuscator verschleiert. Beim Laden der Seite überprüft das Beispiel, ob der Phantom Desktop Wallet beim Opfer installiert ist. Sobald diese Überprüfungen erfolgreich sind, wird eine POST-Anfrage an eine URL mit einem sehr unangenehmen Begriff gesendet. Der Server antwortet mit einer AES-verschlüsselten Telegram-Chat-Gruppen-ID und Konfiguration.
Der Benutzer wird aufgefordert, seine Solana-Wallet zu verbinden. Sobald das Opfer seine Solana-Wallet verbunden hat, sendet die Malware eine Anfrage an eine zweite URL mit der verbundenen Wallet-Adresse. Der Server führt eine Abfrage mit der Wallet durch und gibt Wallet-Details einschließlich des aktuellen Guthabens zurück. Wenn der Server gültige Wallet-Details zurückgibt, sendet die Malware eine Anfrage an eine dritte URL mit weiteren Wallet-Details und der CLINKSINK-Partnerwebsite. Anschließend wird das Opfer aufgefordert, eine betrügerische Transaktion zu signieren. Wenn sie die Transaktion ablehnen, wird der versuchte Diebstahl scheitern.
Verteilung gestohlener Solana-Kryptowährungsgelder
Mandiant hat kürzlich CLINKSINK-Kampagnen mit mindestens 35 verschiedenen Partner-IDs und 42 eindeutigen Solana-Wallet-Adressen identifiziert. Die gestohlenen Gelder werden zwischen dem Partner und dem/den Dienstbetreiber(n) je nach einem festgelegten Prozentsatz aufgeteilt, der über den Drainer-Service anhand der Partner-ID abgerufen wird. In diesen jüngsten Kampagnen wurden Teile der Gelder an die folgende Solana-Adresse gesendet, die wir mit dem DaaS-Betreiber in Verbindung bringen: B8Y1dERnVNoUUXeXA4NaCHiB9htcukMSkfHrFsTMHA7h.
Bei mindestens einigen mit diesem DaaS verbundenen Kampagnen wurden Gelder an eine andere verdächtige Betreiberadresse gesendet: MszS2N8CT1MV9byX8FKFnrUpkmASSeR5Fmji19ushw1. Erste Analysen deuten darauf hin, dass in der Regel 80% der gestohlenen Gelder an den Partner und 20% an den/die Betreiber gehen. Seit dem 31. Dezember 2023 wurden mindestens 1.491 SOL plus zahlreiche zugrunde liegende Tokens im Gesamtwert von über 180.000 USD an die genannte B8Y1d... Adresse gesendet. Da der Betreiber in der Regel 20% erhält, schätzen wir, dass diese aktuellen Kampagnen mindestens 900.000 USD in digitalen Vermögenswerten von Opfern gestohlen haben könnten.
Mehrere DaaS-Angebote nutzen CLINKSINK
Mandiant hat mehrere unterschiedlich gebrandete DaaS-Angebote identifiziert, die anscheinend den CLINKSINK Drainer oder eine Variante davon verwenden, darunter das "Chick Drainer", das nun zumindest teilweise als "Rainbow Drainer" fungieren könnte. Es ist plausibel, dass diese von einem gemeinsamen Bedrohungsakteur betrieben werden, es gibt jedoch einige Hinweise darauf, dass der CLINKSINK-Quellcode mehreren Bedrohungsakteuren zur Verfügung steht.
Am 23. Dezember 2023 wurde eine Nachricht im Telegram-Kanal @chickdrainer veröffentlicht, in der angekündigt wurde, dass der Kanal zu @Rainbow gewechselt hat. Mandiant identifizierte einen am 23. Dezember 2023 erstellten Telegram-Kanal mit dem Namen "@ChickDrainerLeaked", der Beiträge enthält, die behaupten, der Chick Drainer-Quellcode sei durchgesickert, und dass man sich an einen Akteur für den Code wenden solle. Der @ChickDrainerLeaked-Kanal enthält auch mehrere weitergeleitete Nachrichten aus dem @RainbowDrainer-Kanal, was darauf hindeutet, dass sie von einem gemeinsamen Akteur betrieben werden.
Ausblick und Auswirkungen
Im vergangenen Jahr hat Mandiant eine Vielzahl von Akteuren beobachtet, die Drainer verbreiten und Draining-Tools und -Dienstleistungen in Untergrundforen bewerben. Diese CLINKSINK-Aktivität ist besonders bemerkenswert, da sie offenbar mit dem steigenden Wert der nativen Kryptowährung "SOL" von Solana zusammenfällt.
Mandiant hat in den letzten Jahren ein anhaltendes Interesse von Bedrohungsakteuren an der Zielerfassung von Kryptowährungsbenutzern und -diensten beobachtet, ein Trend, der unserer Einschätzung nach angesichts des insgesamt steigenden Werts von Kryptowährungen wahrscheinlich zunehmen wird. Die breite Verfügbarkeit und niedrigen Kosten vieler Drainer, kombiniert mit einem relativ hohen Gewinnpotenzial, machen sie wahrscheinlich zu attraktiven Operationen für viele finanziell motivierte Akteure. Angesichts des Anstiegs der Kryptowährungswerte und der niedrigen Einstiegshürde für Draining-Operationen gehen wir davon aus, dass finanziell motivierte Bedrohungsakteure unterschiedlicher Sophistication auch in Zukunft weiterhin Drainer-Operationen durchführen werden.
