Pese a anunciar su cierre en 2023, Inferno Drainer, vuelve a escena con técnicas más sofisticadas y una estructura operativa que ha robado millones en criptoactivos, según una investigación de Check Point Research.
En solo seis meses, Inferno Drainer ha conseguido vaciar más de 30.000 monederos virtuales en más de 30 blockchains, provocando pérdidas individuales de hasta 761.000 dólares por transacción. El total de los robos atribuidos históricamente a esta campaña podría superar los 250 millones de dólares.
Inferno Drainer funciona como un “Drainer-as-a-Service” (DaaS), un modelo en el que los desarrolladores del malware alquilan kits de ataque a afiliados. Estos kits incluyen infraestructura de phishing, scripts personalizados y soporte en tiempo real.
Manuel Rodríguez, gerente de Ingeniería de Seguridad en NOLA para Check Point Software afirma: “El nivel técnico y enfoque industrial de Inferno Drainer reflejan una nueva era de fraude digital dentro del ecosistema cripto”.
La versión más reciente incorpora innovaciones avanzadas:
• Configuraciones de comando y control (C&C) cifradas y almacenadas en cadena, utilizando Binance Smart Chain.
• Contratos inteligentes de un solo uso, que se autodestruyen tras una transacción para evadir la detección y el bloqueo.
• Técnicas de evasión basadas en proxies seguros y mecanismos OAuth2, diseñadas para eludir detectores en navegadores y billeteras.
• Cifrado AES multicapa y ofuscación intensiva, con el objetivo de ocultar el código malicioso a analistas e investigadores.
Los cibercriminales secuestran enlaces de invitación a Discord o suplantan bots populares como Collab.Land, conduciendo a los usuarios a interfaces falsas que imitan flujos de verificación legítimos. La interfaz falsa imita los procesos reales de verificación—pero una vez que el usuario firma una transacción, sus activos desaparecen.
• La mayoría de las víctimas son engañadas para aprobar contratos inteligentes maliciosos.
• Algunas son afectadas mediante exploits de “Permit2”, que otorgan acceso a tokens sin requerir una transacción de aprobación separada.
• Otras envían tokens sin saberlo a direcciones de contratos inteligentes preimplementados, sin dar tiempo a que las billeteras los alerten.
“Esta campaña demuestra cómo el cibercrimen ha alcanzado niveles industriales”, afirma Eli Smadja, Group manager en Check Point Software. “Inferno Drainer no se limita a robar: opera como una startup criminal, con afiliados, soporte técnico y actualizaciones continuas. El ecosistema cripto debe reaccionar ante amenazas tan persistentes y sofisticadas”.
Check Point Research recomienda adoptar las siguientes medidas preventivas:
• Verificar siempre las URLs, evitando enlaces en redes sociales o Discord.
• Utilizar billeteras temporales al interactuar con nuevos proyectos.
• Comprobar la presencia del distintivo de “Aplicación verificada” en bots de Discord.
• Leer con atención cada solicitud de firma en la billetera antes de aprobarla.
• Incorporar herramientas como Harmony Browse y soluciones de protección de endpoint con inteligencia de amenazas en tiempo real.
