MarkoPolo Трафферы - DrainMPBot

{%hackmd C76nuH1pTfedlTW7n2cwbQ %} # MarkoPolo Трафферы - DrainMPBot ## crypteriumplay[.]io data - **Domain:** crypteriumplay[.]io **URLScan Result:** [View Summary](https://urlscan.io/result/72f44db1-7b88-4594-919d-bf7a85e6dbba/#summary) - **SHA256 Filehash:** `hxxps[://]crypteriumplay[.]io/js/downloadGameClient[.]js` `8d3a3947e7441f00364e6447ca1e0aa50c43fc70a4e2c2d0c00bc70429691706` **URLScan Search Result:** [Search by Hash](https://urlscan.io/search/#hash%3A8d3a3947e7441f00364e6447ca1e0aa50c43fc70a4e2c2d0c00bc70429691706) - **Failed Requests:** **Domain:** nanososijhi[.]com **URLScan Search Result:** [Search by Domain](https://urlscan.io/search/#domain:%22nanososijhi.com%22) > Correlation between crypteriumplay[.]io and nanososijhi[.]com domain results show interconnection to app-maverick[.]xyz and additional samples as well; unit indicating attribution of ms-drainer to traffer activity. Data initially observed from reviewing traffer log channels. --- ## nanososijhi[.]com data - **Additional Samples:** - **Domain:** jitonetwork[.]online **URLScan Result:** [View Summary](https://urlscan.io/result/1d96edc6-bee7-4d20-a5f4-17cc435a59fd/#summary) - **Domain:** zro-participate[.]com **URLScan Result:** [View Summary](https://urlscan.io/result/47774dfb-3bcf-4a1b-a6ad-564d49dccf62/#summary) - **Domain:** app-maverick[.]xyz **URLScan Result:** [View Summary](https://urlscan.io/result/3c2e01f7-54e5-4a66-a830-b6b4e84018ef/#summary) - **App-Maverick Report Reference:** [View Chainabuse Domain Report `app-maverick[.]xyz`](https://www.chainabuse.com/domain/app-maverick.xyz) --- ## Traffer Bot Information Details | identifier | data | |:------------------ |:----------- | | **Telegram Bot:** | @drainmpbot | | **PeerID:** | 6284738224 | | **Traffer Group:** | markopolo | ## Log Samples ### Sample 1 🦊 **Пользователь #user_6473 подключил кошелёк** - **Домен:** crypteriumplay[.]io - **IP адрес:** 110[.]39[.]163[.]42 (PK) - **Тип кошелька:** Trust Wallet - **Адрес:** 0x2a055919ee9ad91d4a6313b82a898a33a364f360 - **Текущая сеть:** Ethereum _Производится расчёт баланса, если пользователь не покинет сайт, вы получите уведомление._ --- ### Sample 2 ❓ **Пользователь #user_5929 получил запрос на подпись** - **Домен:** app-maverick[.]xyz - **IP адрес:** 204[.]44[.]112[.]32 - **Название актива:** ETH [Ethereum, NATIVE] - **Сумма списания:** 59.999171881389934 (133489.76$) --- ### Sample 3 🦊 **Пользователь #user_5929 подключил кошелёк** - **Домен:** app-maverick[.]xyz - **IP адрес:** 204[.]44[.]112[.]32 (US) - **Тип кошелька:** MetaMask - **Адрес:** 0x638741a2de5ef42649e4195668d8fba9f06104a8 - **Текущая сеть:** Ethereum _Производится расчёт баланса, если пользователь не покинет сайт, вы получите уведомление._ --- ## Action Items - **Task:** Scrape data from telegram log channel - **Objective:** Determine whether the listed addresses are impacted or belong to attackers