Nel mondo in continua evoluzione della criminalità informatica, poche minacce sono così persistenti – o così redditizie – come Inferno Drainer. Nonostante avesse dichiarato di aver chiuso i battenti nel 2023, Check Point Research ha confermato la silenziosa ma potente ricomparsa di Inferno Drainer, che ora vanta aggiornamenti tecnici che hanno permesso di rubare oltre 9 milioni di dollari da più di 30.000 wallet negli ultimi sei mesi.
Una nuova era di furti di criptovalute
Inferno Drainer non è un malware qualunque. Si tratta di un’operazione “Drainer-as-a-Service” (DaaS): un modello commerciale malevolo in cui gli operatori affittano kit di attacco agli affiliati, completi di infrastruttura di phishing, script personalizzati e assistenza in tempo reale. L’ultima versione mostra un livello di sofisticazione tecnica raramente visto nelle frodi di criptovaluta.
Le novità del 2025
- Configurazione di comando e controllo (C&C) crittografata sulla Binance Smart Chain.
- Smart contract monouso che si autodistruggono dopo una singola transazione, aggirando il rilevamento e la blacklist.
- Proxy sicuri e trucchi OAuth2 per eludere i rilevatori di browser, wallet e phishing.
- Crittografia AES a più livelli e pesante offuscamento per nascondere la logica malevola ai ricercatori.
Come funziona l’attacco
Gli aggressori dirottano i link di invito a Discord o impersonano bot popolari come Collab.Land, attirando gli utenti a collegare i propri portafogli di criptovalute con un falso pretesto. L’interfaccia fasulla imita i flussi di verifica reali, ma una volta che l’utente firma una transazione, i suoi beni spariscono.
- La maggior parte delle vittime viene indotta ad approvare smart contract malevoli.
- Alcune vengono colpite tramite exploit “Permit2”, che concedono l’accesso ai token senza bisogno di una transazione di approvazione separata.
- Altri inviano inconsapevolmente i token a indirizzi di smart contract già predisposti, senza lasciare ai wallet il tempo di segnalarli.
“Questa campagna dimostra quanto la criminalità informatica si sia industrializzata”, ha dichiarato Eli Smadja, Group Manager di Check Point Software Technologies. “Inferno Drainer non si limita a rubare criptovalute, ma sta scalando la frode come una startup, con affiliati, infrastrutture e aggiornamenti costanti. L’ecosistema delle criptovalute deve allertarsi di fronte alla crescita così avanzata e persistente di queste minacce”.
Il danno
- Oltre 30.000 wallet prosciugati su più di 30 blockchain.
- Le singole vittime hanno perso fino a 761.000 dollari in una singola transazione.
- Il totale dei furti storici di Inferno Drainer potrebbe superare i 250 milioni di dollari.
Come proteggersi
- Verificare sempre gli URL: segnate i siti ufficiali dei progetti ed evitate di cliccare su link provenienti da Discord o dai social media.
- Usare i burner wallet (account monouso) quando si esplorano nuovi progetti o airdrop.
- Verificare la presenza del badge “App verificata” quando si utilizzano i bot di Discord.
- Controllare attentamente ogni richiesta di firma del portafoglio: non approvare mai qualcosa che non si conosce a fondo.
- Utilizzare strumenti di sicurezza del browser come Harmony Browse e la protezione degli endpoint con informazioni sulle minacce in tempo reale.
