Anúncios do Google e do Twitter estão promovendo sites que contêm um drenador de criptomoedas chamado MS Drainer. Esse drenador já roubou US$ 59 milhões (cerca de R$ 287,2 mi) de 63.210 vítimas nos últimos nove meses.
MS Drainer: um drenador de criptomoedas sendo promovido em anúncios do Google
De acordo com analistas de ameaças de blockchain do ScamSniffer, eles descobriram mais de dez mil sites de phishing usando o drenador de março de 2023 até hoje, com picos na atividade observados em maio, junho e novembro.
Um drenador é um contrato inteligente malicioso ou, neste caso, um conjunto completo de phishing projetado para drenar fundos da carteira de criptomoeda de um usuário sem o seu consentimento. Os usuários são levados a um site de phishing aparentemente legítimo e induzidos a aprovar contratos maliciosos, permitindo que o drenador execute automaticamente transações não autorizadas e transfira o dinheiro da vítima para o endereço da carteira do invasor.
O drenador
O código-fonte do MS Drainer é vendido a cibercriminosos por US$ 1.500 (cerca de R$ 7,3 mil) por um usuário chamado “Pakulichev” ou “PhishLab”, que também cobra uma taxa de 20% sobre quaisquer fundos roubados com o kit de ferramentas.
De acordo com dados de blockchain sobre a atividade do MS Drainer, uma de suas vítimas da cadeia Ethereum perdeu US$ 24 milhões em criptomoedas (cerca de R$ 116,8 mi), enquanto outros casos notáveis envolvem vítimas que perderam entre US$ 440.000 (cerca de R$ 2,1 mi) e US$ 1,2 milhão (cerca de R$ 5,8 mi).
Anúncios fraudulentos no Google e X (Twitter)
Na Pesquisa Google, o MS Drainer é promovido por meio de anúncios maliciosos exibidos para palavras-chave relacionadas a plataformas DeFi como Zapper, Lido, Stargate, Defillama, Orbiter Finance e Radiant. Muitos desses anúncios exploram a brecha do modelo de rastreamento do Google Ads para fazer o URL parecer pertencer ao domínio oficial do projeto falsificado. Um redirecionamento, porém, leva quem clica para um site de phishing.
No X, mais conhecido como Twitter, os anúncios do MS Drainer são tão abundantes que o ScamSniffer relata que eles representam seis entre nove anúncios de phishing em seu feed. Muitos dos anúncios fraudulentos no X são postados a partir de contas legítimas “verificadas” que carregavam o selo azul quando o anúncio foi exibido.
O pesquisador de segurança MalwareHunterTeam, que tem rastreado anúncios semelhantes, disse ao BleepingComputer que acredita que os titulares de contas do Twitter podem ter sido infectados com malware que roubou seus cookies de autenticação ou senhas, permitindo que os agentes da ameaça criassem anúncios a partir das contas hackeadas.
Os golpes de criptomoeda sempre tiveram um bom desempenho no X, mas com contas confiáveis e hackeadas agora exibindo anúncios promovendo sites maliciosos, devemos esperar ver esses tipos de ataques se tornarem ainda mais bem-sucedidos.
Os usuários devem ser muito cautelosos ao ver anúncios relacionados a criptomoedas e realizar a devida diligência antes de se inscreverem em novas plataformas, muito menos de conectar suas carteiras.