El retorno de Inferno Drainer, uno de los actores más peligrosos del cibercrimen financiero, fue descubierto por Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies Ltd. La amenaza, pese a anunciar su cierre en 2023, vuelve a cobrar vigencia con técnicas más sofisticadas y una estructura operativa que ha robado millones en criptoactivos.
Tan solo en un semestre, este malware ha logrado vaciar más de 30.000 billeteras digitales en más de 30 blockchains, resultando en pérdidas individuales que alcanzan hasta US$ 761.000 por cada transacción. El monto total de los robos que se han relacionado históricamente con esta campaña podría exceder los US$ 250 millones.
Inferno Drainer opera como un “Drainer-as-a-Service” (DaaS), un esquema en el que los creadores de malware arriendan conjuntos de ataque a socios. Estos conjuntos contienen infraestructura para phishing, scripts personalizados y asistencia en tiempo real. Su nivel de sofisticación técnica y método comercial indican una nueva fase de engaño digital en el entorno cripto.
La última de esta ciberamenaza incorpora las siguientes innovaciones avanzadas:
· Configuraciones de comando y control (C&C) cifradas y almacenadas en cadena, utilizando Binance Smart Chain.
· Contratos inteligentes de un solo uso, que se autoeliminan luego de una transacción para sortear la detección y el bloqueo.
· Tácticas de evasión basadas en proxies seguros y mecanismos OAuth2, elaborados para evitar detectores en navegadores y billeteras.
· Cifrado AES multicapa y ofuscación intensiva, con el propósito de esconder el código malicioso a analistas e investigadores.
Los delincuentes cibernéticos asumen el control de enlaces de invitación a Discord o falsifican bots conocidos como Collab.Land, llevando a las personas a plataformas fraudulentas que emulan procesos de verificación auténticos. La plataforma engañosa reproduce los pasos reales de verificación, pero tras la aprobación de una transacción por parte del usuario, sus bienes se desvanecen.
Gran parte de los afectados son inducidos a aceptar contratos inteligentes dañinos. Algunos son perjudicados a través de vulnerabilidades de “Permit2”, que permiten el acceso a tokens sin la necesidad de una aprobación por separado, mientras que otros transfieren tokens sin darse cuenta hacia direcciones de contratos inteligentes que ya estaban configuradas, sin permitir que las billeteras alerten al respecto.
“Esta campaña demuestra cómo el cibercrimen ha alcanzado niveles industriales. Inferno Drainer no se limita a robar: opera como una startup criminal, con afiliados, soporte técnico y actualizaciones continuas. El ecosistema cripto debe reaccionar ante amenazas tan persistentes y sofisticadas”, indica Alejandro Botter, Gerente de Ingeniería de Check Point Software.
Desde Check Point Research aconsejan aplicar las siguientes medidas preventivas:
· Verificar siempre las URLs, prescindiendo de enlaces en redes sociales o Discord.
· Emplear billeteras temporales al interactuar con nuevos proyectos.
· Revisar la presencia del distintivo de “Aplicación verificada” en bots de Discord.
· Leer atentamente cada solicitud de firma en la billetera antes de aprobarla.
· Integrar soluciones como Harmony Browse y herramientas de protección de endpoint con inteligencia de amenazas en tiempo real.
