El 23 de enero, Wallet Link y otras empresas de world-wide-web3 informaron a sus usuarios sobre una estafa de phishing que utilizaba direcciones de correo electrónico oficiales de las empresas de web3 para robar fondos de miles de carteras criptográficas.
Una campaña masiva de phishing
Wallet Hook up tomó a X para notificar a su comunidad sobre un correo electrónico autorizado enviado desde una dirección de correo electrónico vinculada a Wallet Hook up. Este correo electrónico solicitó a los destinatarios que abrieran un enlace para reclamar un lanzamiento aéreo sin embargo, el enlace conducía a un sitio malicioso y, como confirmó Wallet Link, no fue emitido directamente por el equipo ni por nadie afiliado. Wallet Hook up se puso en contacto con la empresa de seguridad y privacidad web3 Blockaid para investigar más a fondo la estafa de phishing.
Hemos detectado un sofisticado ataque de phishing suplantando @WalletConnect a través de un correo electrónico falso que enlaza con una dapp maliciosa.
Las billeteras habilitadas para Blockaid son seguras.https://t.co/quz9olGrpZ pic.twitter.com/TYS0BjIk2J
– Bloqueo (@blockaid_) 23 de enero de 2024
En las siguientes horas, el criptodetective al corriente una alerta de la comunidad para informar a los usuarios desprevenidos que los correos electrónicos del equipo de Noticias Blockchain, Token Terminal y De.Fi también estaban comprometidos, lo que indica que se estaba llevando a cabo una campaña de phishing masiva y más sofisticada. En el momento de la publicación, se habían robado alrededor de 580.000 dólares.
Después de investigar, Blockaid reveló más tarde que el atacante «pudo aprovechar una vulnerabilidad en el proveedor de servicios de correo electrónico MailerLite para hacerse pasar por empresas net3».
Las estafas de phishing por correo electrónico son comunes entre los estafadores cibernéticos, lo que hace que los usuarios desconfíen de la mayoría de los enlaces o correos electrónicos sospechosos. Al mismo tiempo, empresas y entidades desaconsejan abrir enlaces que no procedan de sus canales oficiales. En este caso, el atacante pudo engañar a una gran cantidad de usuarios de estas empresas, ya que los enlaces maliciosos procedían de sus direcciones de correo electrónico oficiales.
El compromiso permitió al atacante enviar correos electrónicos convincentes con enlaces maliciosos adjuntos que conducían a sitios net agotadores de billeteras. Específicamente, los enlaces condujeron a varias dApps maliciosas que utilizan la infraestructura de Angel Drainer Group.
Los atacantes, como explicó Bloackaid, se aprovecharon de los datos proporcionados previamente a Mailer Lite, ya que estas empresas le habían dado acceso para enviar correos electrónicos en nombre de los dominios de estos sitios anteriormente, específicamente utilizando registros DNS preexistentes, como se detalla en la amenaza:
Específicamente, utilizaron registros «dns colgantes» que fueron creados y asociados con Mailer Lite (utilizado anteriormente por estas empresas). Después de cerrar sus cuentas, estos registros DNS permanecen activos, lo que brinda a los atacantes la oportunidad de reclamar y hacerse pasar por estas cuentas. pic.twitter.com/cbTpc5MXu1
– Bloqueo (@blockaid_) 23 de enero de 2024
MailerLite explica la violación de seguridad
La explicación llegó más tarde a través de un correo electrónico, donde MailerLite explicó que la investigación mostró que un miembro de su equipo de atención al cliente se convirtió sin darse cuenta en el punto inicial del compromiso. Como explica el correo electrónico:
El miembro del equipo, en respuesta a la consulta de un cliente a través de nuestro portal de soporte, hizo clic en una imagen que estaba engañosamente vinculada a una página fraudulenta de inicio de sesión de Google. Al ingresar allí sus credenciales por error, los perpetradores obtuvieron acceso a su cuenta. La intrusión fue autenticada inadvertidamente por el miembro del equipo a través de una confirmación por teléfono móvil, creyendo que se trataba de un intento de acceso legítimo. Esta infracción permitió a los perpetradores penetrar en nuestro panel de administración interno.
MailerLite agrega además que el atacante restableció la contraseña de un usuario específico en el panel de administración para consolidar aún más el handle no autorizado. Este command les dio acceso a 117 cuentas, de las cuales solo se centraron en cuentas relacionadas con criptomonedas para el ataque de la campaña de phishing.
Un usuario anónimo de Reddit publicó un análisis de la situación y analizó más de cerca las transacciones del atacante. El usuario reveló:
La billetera de una víctima parece haber perdido 2,64 millones de tokens XB. Estoy mostrando alrededor de 2,7 millones en la billetera de phishing de 0xe7D13137923142A0424771E1778865b88752B3c7, mientras que 518,75K fueron a 0xef3d9A1a4Bf6E042F5aaebe620B5cF327ea05d4D.
El usuario afirmó que la mayoría de los fondos robados estaban en la primera dirección de phishing. Al mismo tiempo, se enviaron aproximadamente $520,000 en ETH al protocolo de privacidad Railgun, y cree que pronto se moverán a través de otro mezclador o intercambio.
ETH is investing at $2,232.92 in the hourly chart. Source: ETHUSDT on TradingView.com
Imagen destacada de Unsplash.com, gráfico de TradingView.com