Campañas de phishing y secuestros de sites cripto en curso

[DdmrDdmr]

CoinGecko y Etherscan han reportado intentos e phishing a sus usuarios a través de una notificación emergente en dichas páginas oficiales, solicitando conectar a Metamask. El ataque fue breve, e introducido a través de código malicioso en campañas publicitarias montadas sobre la base de Coinzila. Etherscan reportó algo similar, al igual que DexTools. Los citados casos se suponen ya resueltos.
No sé quién leches iba a estar en estas plataformas y conectarse a su wallet por petición de un popup en las citadas webs, pero bueno, por probar que no quede oiga…

Por su parte, el DEX Quickswap reportó que su dominio había sido secuestrado (hospedado en GoDaddy), potencialmente comprometiendo la seguridad del Exchange (citan que "sólo" los swaps han sido afectados). Hay otros casos reportados como el de SpiritSwap, hospedado en la misma plataforma, y se supone que hay más casos. Tambien citan algo de phishing en su Twitter, pero no me han quedado claro los detalles.
Estos casos, hospedados en GoDaddy, parecen no estar aún resueltos, estando en el mejor de los casos en revisión de las plataformas a medida que son recuperadas.


Ver: https://www.criptonoticias.com/seguridad-bitcoin/varios-ataques-simultaneos-vulneraron-coingecko-etherscan-quickswap-ciberataque/

[1714068736]

1714068736

[Hispo]

Agradecido por traer esta advertencia, como siempre. Nunca está de más difundir esta clase de información en donde sea posible.

Por su parte, el DEX Quickswap reportó que su dominio había sido secuestrado (hospedado en GoDaddy), potencialmente comprometiendo la seguridad del Exchange (citan que "sólo" los swaps han sido afectados). Hay otros casos reportados como el de SpiritSwap, hospedado en la misma plataforma, y se supone que hay más casos. Tambien citan algo de phishing en su Twitter, pero no me han quedado claro los detalles.

¿Qué clase de operador de un DEX está en la posición de ceder o perder las credenciales de su sitio web?
Me parece hasta ridículo que ellos no estén conscientes de que obviamente serán un blanco de ataques de todo tipo, guerra avisada.

[DdmrDdmr]

Hay otro conjunto de campañas de phishing en marcha, en esta ocasión focalizadas en cuentas de los Exchanges Coinbase, Kraken, Gemini, además de Metamask. Las campañas se están llevando a cabo a través de la creación de sites falsos usando Google Sites y MS Azure.

Ejemplo:


Mediante el uso de bots, los actores maliciosos están incluyendo links a estas sites en posts creados en varias sites legítimas. En conjunto, para variar, buscan recuperar credenciales o semillas (en el caso de Metamask).

El ataque es algo más sofisticado de lo habitual, dado que también lleva al usuario a una falsa pantalla 2FA, donde le solicita el número de teléfono, les da luego un error, y les pide contactar con soporte. Soporte, amablemente les insta a instalar TeamViewer, por lo que a partir de este momento hace que el control del equipo y/o del proceso 2FA real del cliente se vean comprometidos.

Ver: https://www.bleepingcomputer.com/news/security/phishing-attack-abuses-microsoft-azure-google-sites-to-steal-crypto/

[Hispo]

...snip

Vaya, que interesante, parece que definitivamente los scammers están desarrollando métodos más confisticados: pasaron de un esquema simple de phishing a aplicar un sistema dual.

Ahora aunque la víctima reconozca que se trata de una estafa y no coloque sus palabras clave o descargue un software malicioso, los scammers podrían hacerse con una amplia lista de números de telefóno de personas que ellos saben tienen dinero en criptomonedas.

Así que me imagino de que en caso de no obtener tantos dineros mal habidos como ellos quisieran, optarán por vender la lista de números de teléfono a otras personas con mala intenciones por una suma módica, lo que podría devenir en todo tipo de intentonas de crimen, desde de robo de identidad, spam, sim swap, extorsión, etc.

Gracias por hacernoslo saber, como siempre.

[DdmrDdmr]

Es interesante también ver el informe original de Netskope, donde se incluyen numerosas capturas de pantallas adicionales tanto de los sites de phishing, como de los métodos de propagación.

A su vez, ejemplifica como es ese contacto con soporte que comentaba antes:

Es decir, primero parece que prueban realizar una llamada telefónica a la víctima de phishing. Si no lo logran, o bien para añadir un grado más al descaro, le dicen que no pueden contactar con él, y que sea éste (la víctima) quien les llame a un número de teléfono determinado.

Si no logran hablar por teléfono, cambian de canal, e intentan que la víctima se instale Teamviewer.

Ver: https://www.netskope.com/blog/abusing-google-sites-and-microsoft-azure-for-crypto-phishing

[seoincorporation]

Es interesante como google sites no tiene un filtro para verificar los sitios antes de ser publicados. Las políticas que tiene Google para los fraudes son muy vagas y el echo de que demoren tanto tiempo en detectar los fraudes le da ventaja a los estafadores.

Tarde o temprano google se va a tener que aplicar con sus plataformas, ya que se está volviendo más peligroso que el mismísimo facebook.

[famososMuertos]

Es interesante como google sites no tiene un filtro para verificar los sitios antes de ser publicados. Las políticas que tiene Google para los fraudes son muy vagas y el echo de que demoren tanto tiempo en detectar los fraudes le da ventaja a los estafadores.

Tarde o temprano google se va a tener que aplicar con sus plataformas, ya que se está volviendo más peligroso que el mismísimo facebook.

En realidad hacen el trabajo (ojo, no defiendo), pero como se ha comentado no es fácil y no tienen la voluntad real, recursos que se gastaran solo cuando algùn tipo de ley les perjudique o con las existentes un político/gobierno les meta presiòn.

La verificación de campañas (ads) es paupérrima màs aùn cuando puedes empezar una campaña con solo $100 incluso son soporte del 0800 de Google, es muy posible que incluso estos estafadores reciban soporte para afinar sus fechorías.

Esto del phishing esta viral, quizás decir +viral.