Monkey Drainer, una banda de bandidos multimillonaria: técnicas de pesca, seguimiento de dinero y retratos de equipo

Original: “Slow Mist: Desentrañando” el misterio de la pandilla multimillonaria Monkey Drainer

Autor: Equipo de seguridad de Slowmist

Antecedentes del evento

El 8 de febrero de 2023, SlowMist recibió información de seguridad de su socio ScamSniffer de que una víctima había perdido más de USD 1,200,000 en USDC debido a una dirección de phishing de larga data.

• Dirección del hacker: 0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1;
• Dirección de beneficio: 0x9cdce76c8d7962741b9f42bcea47b723c593efff.

()

El 24 de diciembre de 2022, SlowMist Technology reveló el “Análisis de phishing de NFT a gran escala APT de Corea del Norte” por primera vez a nivel mundial, y este incidente de phishing está relacionado con otra banda de phishing de NFT que rastreamos, Monkey Drainer. Debido a algunos requisitos de confidencialidad, este artículo solo analiza algunos de los materiales de phishing de la pandilla y las direcciones de billeteras de phishing.

Análisis de phishing

Tras el análisis, descubrimos que el principal método de phishing es publicar sitios de cebo falsos relacionados con NFT con mentas maliciosas a través de cuentas falsas de Twitter de influencers, grupos de Discord, etc., que se venden en plataformas como OpenSea, X2Y2 y Rarible. La organización Monkey Drainer atacó más de 2,000 dominios en phishing para usuarios de criptomonedas y NFT.

Una búsqueda de información sobre el registro de estos dominios reveló que la fecha de registro se remonta a hace 4 meses:

Inicialmente, el grupo Monkey Drainer promovió el phishing a través de cuentas falsas de Twitter:

Al mismo tiempo, comenzó a aparecer el primer phishing en la dirección NFT: mechaapesnft[.] arte:

Echemos un vistazo a dos características correlacionales específicas:

A continuación, el trazado se asocia a una combinación de entidades:

Después de clasificar, rastreamos más de 2,000 phishing de NFT y otras URL con las mismas características desde 2022 hasta la actualidad.

Utilizamos ZoomEye para realizar una búsqueda global para ver cuántos sitios de phishing se estaban ejecutando e implementando al mismo tiempo:

Entre ellos, los últimos sitios tienen los disfrazados de airdrops de Arbitrum:

** A diferencia del grupo de piratas informáticos de Corea del Norte, la organización de phishing Monkey Drainer no tiene un sitio web especial para cada sitio para contar los registros de acceso de las víctimas, sino que utiliza una forma simple y cruda de pescar directamente y desplegar en lotes, por lo que suponemos que la organización de phishing Monkey Drainer utiliza una plantilla de phishing para implementarse automáticamente en lotes. **

Continuamos rastreando la cadena de suministro y descubrimos que la cadena de suministro utilizada por la organización de phishing Monkey Drainer NFT es una plantilla proporcionada por la cadena de la industria gris existente, como la descripción de ventas de anuncios:

Características de soporte de la cadena de suministro de phishing:

A juzgar por la introducción, el precio es favorable y las funciones son perfectas. Debido a limitaciones de espacio, no entraré en detalles aquí.

Análisis de técnicas de phishing

Combinado con el anterior “phishing de compra de NFT sin yuanes” publicado por Slowfog, analizamos el código central de este evento de phishing.

El análisis encontró que el código central usaba ofuscación para inducir a las víctimas a firmar Seaport, Permit, etc., y al mismo tiempo usaba el mecanismo de firma de autorización fuera de línea de Permit usdc, etc., para actualizar el mecanismo de phishing original.

Busque un sitio aleatorio para probar y aparecerá como phishing “SecurityUpdate”:

A continuación, observe la visualización de datos:

Por cierto, la billetera de complementos Rabby hace un buen trabajo al visualizarlo y hacerlo legible. No se repetirán más análisis.

Vista aérea en cadena

Basándonos en el análisis de las más de 2.000 URL de phishing anteriores y la base de datos de direcciones maliciosas Slowmist AML asociada, analizamos un total de 1.708 direcciones maliciosas relacionadas con la banda de phishing Monkey Drainer NFT, de las cuales 87 direcciones eran direcciones de phishing iniciales. Las direcciones maliciosas relevantes se han introducido en la plataforma MistTrack () y en la base de datos de direcciones maliciosas SlowMist AML ().

Utilizando las 1708 direcciones maliciosas asociadas con el conjunto de datos de análisis on-chain, podemos obtener las siguientes conclusiones de la banda de phishing:

• Ejemplos de ofertas de phishing:

• Plazo: La fecha activa más temprana para el conjunto de direcciones on-chain es el 19 de agosto de 2022, y sigue activa en un futuro próximo.

• Tamaño de la ganancia: Aproximadamente 12.972 millones de dólares en ganancias totales de phishing. Entre ellos, el número de NFT de phishing fue de 7.059, con un beneficio de 4.695,91 ETH, o unos 7,61 millones de dólares, lo que supone el 58,66% de los fondos obtenidos; ERC20 Token obtuvo un beneficio de unos 5.362 millones de dólares, lo que representa el 41,34% de los fondos obtenidos, de los cuales los principales tipos de ERC20 Token rentables son USDC, USDT, LINK, ENS y stETH. (Nota: Los precios de ETH se basan en 2023/02/09, fuente de datos CryptoCompare). ）

Los detalles del token Take Profit ERC20 son los siguientes:

(Tabla de detalles del token ERC20 de ganancias para direcciones de bandas de phishing)

Análisis de trazabilidad

El equipo de MistTrack de SlowMist realizó un análisis de trazabilidad en cadena del conjunto de direcciones maliciosas, y el flujo de fondos fue el siguiente:

Según el gráfico de Sanky, rastreamos un total de 3876,06 ETH de los fondos rentables transferidos a direcciones físicas, de los cuales 2452,3 ETH se depositaron en Tornado Cash y el resto se transfirió a algunos exchanges.

Las fuentes de las tarifas para las 87 direcciones iniciales de phishing son las siguientes:

De acuerdo con el histograma de la fuente de las tarifas, 2 direcciones tienen tarifas de Tornado Cash, 79 direcciones tienen transferencias desde direcciones personales y las 6 direcciones restantes no han aceptado fondos.

Ejemplo típico de seguimiento

El 8 de febrero, la dirección hackeada que perdió más de 1.200.000 dólares:

0x69420e2b4ef22d935a4e2c194bbf3a2f02f27be1 Obtener acceso a la dirección de la víctima a través de phishing y transferirle 1,244,107.0493 USDC

0x9cdce76c8d7962741b9f42bcea47b723c593efff, después de que USDC se intercambia por ETH a través de MetaMask Swap, parte de ETH se transfiere a Tornado Cash y los fondos restantes se transfieren a la dirección de phishing utilizada anteriormente.

Análisis de retratos de pandillas

Finalmente, gracias a ScamSniffer y NFTScan por su soporte de datos.

Resumen

Este artículo explora principalmente un método de phishing NFT relativamente común, descubre el grupo de estaciones de phishing NFT a gran escala organizado por Monkey Drainer y extrae algunas de las características de phishing de la organización Monkey Drainer. A medida que la Web3 sigue innovando, también lo hacen las formas de atacar el phishing de la Web3.

Para los usuarios, es necesario comprender el riesgo de la dirección de destino de antemano antes de realizar operaciones en cadena, como ingresar la dirección de destino en MistTrack y ver la puntuación de riesgo y las etiquetas maliciosas, lo que puede evitar caer en la situación de perder fondos hasta cierto punto.

Para el equipo del proyecto wallet, en primer lugar, es necesario realizar una auditoría de seguridad integral, centrándose en mejorar la parte de seguridad de la interacción con el usuario, fortalecer el mecanismo WYSIWYG y reducir el riesgo de que los usuarios sean suplantados, como:

Alertas de sitios web de phishing: reúna todo tipo de sitios web de phishing a través del poder de la ecología o la comunidad, y proporcione recordatorios y advertencias llamativos de los riesgos cuando los usuarios interactúen con estos sitios web de phishing.

Identificación y recordatorio de firmas: identifique y recuerde las solicitudes de firmas, como eth_sign, personal_sign y signTypedData, y resalte los riesgos de la firma ciega de eth_sign.

Lo que ves es lo que firmas: la billetera puede realizar un mecanismo de análisis detallado para las llamadas de contrato para evitar el phishing de aprobación y permitir que los usuarios conozcan los detalles de la construcción de la transacción DApp.

Mecanismo de preejecución: el mecanismo de preejecución puede ayudar a los usuarios a comprender el efecto de la transacción después de la ejecución de la difusión y ayudar al usuario a predecir la ejecución de la transacción.

Recordatorio de estafa con el mismo número de cola: Al mostrar la dirección, se le recuerda al usuario que verifique la dirección de destino completa para evitar fraudes con el mismo número de cola. El mecanismo de lista blanca permite a los usuarios agregar direcciones de uso común a la lista blanca para evitar ataques con el mismo número de cola.

Recordatorio de cumplimiento de AML: Al transferir dinero, el mecanismo AML recuerda a los usuarios si la dirección de destino de la transferencia activará las reglas de AML.