“지옥이 돌아올 때가 됐다”, Crypto Drainer 이 시시각각 변한다

저자：Bitrace

암호화폐 피싱 링크가 소셜 미디어에 밀려들고 있으며, 그 수량과 반복 속도는 사기 집단 뒤에 있는 분배자 Drainer 덕분이다. Drainer는 암호화폐 지갑을 불법으로 비우거나 "배수"하기 위해 특별히 설계된 악성 소프트웨어로, 개발자가 이 악성 도구를 대여해 주기 때문에 누구나 비용을 지불하고 사용할 수 있다.

이 글에서는 대표적인 Drainer가 어떻게 범죄자들을 도와 사기, 도난, 갈취 등의 활동을 수행하는지, 실제 배수기 피해자 사례를 분석하여 사용자들이 피싱 위협에 대한 인식을 높일 수 있도록 돕는다.

Drainer의 작동 방식

Drainer의 종류는 다양하지만, 형태는 비슷하다------공식 발표나 에어드랍 활동을 가장하여 사회 공학적 수단을 이용해 사용자를 속인다.

InfernoDrainer 에어드랍 신청

이 집단은 텔레그램 채널을 통해 서비스를 홍보하며, 사기 서비스 모델을 운영한다. 개발자가 사기꾼에게 필요한 피싱 웹사이트를 제공하여 그들의 사기 활동을 지원하며, 피해자가 피싱 웹사이트의 QR 코드를 스캔하고 지갑을 연결하면 Inferno Drainer는 지갑에서 가장 가치 있고 쉽게 이동할 수 있는 자산을 확인하고 악성 거래를 시작한다. 피해자가 이러한 거래를 확인하면 자산은 범죄자의 계좌로 이동한다. 도난당한 자산의 20%는 Inferno Drainer 개발자에게 돌아가고, 80%는 사기꾼에게 돌아간다.

출처：Group-B

이 악성 소프트웨어 서비스를 구매한 사기 집단은 주로 암호화폐 유명 프로젝트의 피싱 웹사이트를 가장하여 잠재 피해자를 유인하여 사기 거래를 유도한다------고급 복제 트위터 계정을 이용해 공식 트위터 계정의 댓글에 가짜 에어드랍 신청 링크를 대량으로 게시하여 사용자를 웹사이트로 유도하며, 사용자가 부주의하면 자금 손실을 입을 수 있다. (고급 복제 계정 @BlasqtL2, 공식 계정 @BlastL2)

PinkDrainer 소셜 미디어 공격

위에서 언급한 악성 소프트웨어 판매 외에도, 사회 공학적 공격은 Drainer가 자주 사용하는 수법이다------고유한 트래픽을 가진 개인이나 프로젝트의 Discord, Twitter 계정을 해킹하여 피싱 링크가 포함된 가짜 정보를 게시하여 사용자 자산을 훔친다. 해커는 Discord 관리자가 악성 Carl 인증 봇을 열도록 유도하거나 악성 코드가 포함된 북마크를 추가하여 권한을 탈취한다. 권한을 성공적으로 얻은 후, 해커는 다른 관리자를 삭제하거나 악성 계정을 관리자 설정으로 변경하고, 주 계정의 위반 등을 통해 공격 과정을 더 오래 지속시킨다.

"DragMe"는 실제로 사용자의 DiscordToken을 탈취할 수 있는 악성 JS 코드를 포함하고 있다

해커는 탈취한 Discord 계정을 통해 피싱 링크를 전송하여 사용자가 악성 웹사이트를 열고 악성 서명을 하도록 유도하여 자산을 훔친다. 이 글을 작성하는 시점까지 Pink Drainer는 21,131명의 사용자에게 공격을 감행하여 최대 85,297,091 달러를 훔쳤다.

LockBit 랜섬웨어 서비스

LockBit는 러시아 랜섬웨어 서비스 조직으로, 도메인, 악성 소프트웨어의 개발 및 유지 관리 등을 제공하며, 그들의 코드에 감염된 피해자의 몸값의 20%를 보유한다; 랜섬웨어 서비스 사용자는 랜섬 목표를 찾는 책임이 있으며, 최종적으로 이 조직에 지급되는 몸값의 80%를 차지한다.

미국 법무부에 따르면, 이 집단은 2019년 9월 처음 등장했으며, 전 세계 수천 명의 피해자에게 공격을 감행하여 1억 2천만 달러 이상의 몸값을 갈취했다. 최근 미국은 한 러시아 남성을 LockBit 랜섬웨어 그룹의 수장으로 기소하고, 이 집단의 활동과 관련된 200개 이상의 암호화폐 계좌를 동결하며 제재를 가했다.

Drainer의 심각한 피해

Bitrace에 수록된 Pink Drainer와 관련된 피해자 사례를 예로 들면, 피해자는 피싱 웹사이트에서 권한을 부여한 후 287,000 달러 상당의 암호화폐를 도난당했다. 이 피싱 웹사이트는 pacnoon.io로, Blast 공공 블록체인 출시 초기 소셜 미디어에 게시되어 사용자를 유인하여 에어드랍을 받도록 하였으며, 공식 웹사이트 pacmoon.io와 단 하나의 글자 차이로 사용자들이 혼동하기 쉬웠다.

피해자가 제공한 도난 해시를 통해 우리는 이 도난 거래의 발신자가 Pink Drainer임을 발견했다. 성공적으로 도난당한 후, 36,200개의 $RBN이 Pink Drainer의 자금 집합 주소로 들어갔고, 144,900개의 $RBN이 해커 주소로 들어갔다. 두 범죄 집단이 수익 자금을 2:8로 나누었음을 알 수 있다. Bitrace 플랫폼 데이터에 따르면, 2023년 3월부터 현재까지 이 사건과 관련된 Pink Drainer 자금 집합 주소의 거래량은 8143.44개의 $ETH, 911,000개의 $USDT에 달한다.

통계에 따르면, 2023년 Drainer는 324,000명의 피해자로부터 거의 2.95억 달러의 자산을 탈취했다. 아래 그림과 같이 대부분의 Drainer는 지난해부터 활동을 시작했지만, 이미 막대한 경제적 손실을 초래했다. 아래 그림에 나열된 7종의 Drainer만으로도 수억 달러를 탈취했으며, 그 범위와 위협이 얼마나 큰지 알 수 있다.

출처：Scam Sniffer

마무리

유명 집단 Pink Drainer는 2024년 5월 17일 은퇴를 발표했다. 4일 후, Inferno Drainer 팀은 "지옥이 돌아올 시간이다"라는 글을 게시했다. Pink Drainer가 활동을 중단하고 Inferno Drainer가 활동을 시작하며, 하나의 Drainer가 퇴출될 때마다 새로운 Drainer가 등장하여 피싱 활동이 계속된다.

불법 집단이 기승을 부리고 있으며, 안전한 암호화폐 환경을 위해서는 여러 방면의 노력이 필요하다. Bitrace는 새로운 암호화폐 사건의 사기 수법, 자금 추적, 예방 조치 등에 대한 폭로를 지속하여 사용자들의 방어 의식을 키우도록 할 것이다. 만약 불행히도 피해를 입었다면, 언제든지 도움을 요청할 수 있다.

참고 링크

https://drops.scamsniffer.io/post/pink-drainer-steals-3m-from-multiple-hack-events-including-openai-cto-orbiter-finance/

https://www.group-ib.com/blog/inferno-drainer/

https://krebsonsecurity.com/2024/05/u-s-charges-russian-man-as-boss-of-lockbit-ransomware-group/