Check Point Research, la división encargada de la Inteligencia de Amenazas en Check Point Software Technologies, ha detectado el regreso de uno de los grupos más temidos en el ámbito del cibercrimen financiero: Inferno Drainer. A pesar de haber anunciado su cierre en 2023, este grupo ha regresado con técnicas más avanzadas y una estructura operativa que ha logrado robar millones en criptoactivos. En un periodo de solo seis meses, Inferno Drainer ha vaciado más de 30,000 monederos virtuales a través de más de 30 blockchains, generando pérdidas individuales que alcanzan hasta los 761,000 dólares por transacción. El total histórico de robos atribuidos a esta campaña podría superar los 250 millones de dólares.
Inferno Drainer opera bajo el modelo “Drainer-as-a-Service” (DaaS), donde los desarrolladores del malware alquilan kits de ataque a afiliados. Estos kits incluyen infraestructura para phishing, scripts personalizados y soporte técnico en tiempo real. El enfoque industrial y el alto nivel técnico reflejan una nueva era del fraude digital dentro del ecosistema cripto.
La versión más reciente presenta innovaciones significativas: configuraciones de comando y control (C&C) cifradas y almacenadas en cadena, utilizando Binance Smart Chain. Los contratos inteligentes son de un solo uso y se autodestruyen tras cada transacción para evadir detección y bloqueo. Se emplean técnicas de evasión que utilizan proxies seguros y mecanismos OAuth2, diseñados específicamente para sortear detectores en navegadores y billeteras. Además, se implementa cifrado AES multicapa y ofuscación intensiva con el fin de ocultar el código malicioso a analistas e investigadores.
Los cibercriminales han comenzado a secuestrar enlaces de invitación a Discord o suplantar bots populares como Collab.Land, llevando a los usuarios hacia interfaces falsas que simulan flujos legítimos de verificación. Aunque la interfaz falsa imita los procesos reales, una vez que el usuario firma una transacción, sus activos desaparecen. La mayoría de las víctimas son engañadas al aprobar contratos inteligentes maliciosos. Algunas caen debido a exploits del sistema “Permit2”, que permiten acceder a tokens sin necesidad de una transacción separada para aprobación. Otras envían tokens sin darse cuenta hacia direcciones predefinidas de contratos inteligentes, sin permitir que las billeteras emitan alertas.
"Esta campaña demuestra cómo el cibercrimen ha alcanzado niveles industriales", sostiene Eli Smadja, Group Manager en Check Point Software. "Inferno Drainer no se limita únicamente al robo: actúa como una startup criminal, con afiliados, soporte técnico y actualizaciones continuas. El ecosistema cripto debe reaccionar ante amenazas tan persistentes y sofisticadas".
Check Point Research aconseja implementar las siguientes medidas preventivas: