23 января Wallet Connect и другие компании Web3 сообщили своим пользователям о фишинговой афере с использованием адресов электронной почты официальных компаний Web3 для кражи средств из тысяч криптовалютных кошельков.
Массивная фишинговая кампания
Wallet Connect воспользовался X, чтобы уведомить свое сообщество о авторизованном электронном письме, отправленном с адреса электронной почты, связанного с Wallet Connect. В этом электронном письме получателям предлагалось открыть ссылку, чтобы запросить раздачу, однако ссылка вела на вредоносный сайт, и, как подтвердил Wallet Connect, она не была выдана непосредственно командой или кем-либо, связанным с ней. Wallet Connect связался с фирмой Blockaid, занимающейся безопасностью и конфиденциальностью Web3, для дальнейшего расследования фишингового мошенничества.
We've detected a sophisticated phishing attack impersonating @WalletConnect via a fake email linking to a malicious dapp.
Blockaid enabled wallets are safe.https://t.co/quz9olGrpZ pic.twitter.com/TYS0BjIk2J
— Blockaid (@blockaid_) January 23, 2024
В последующие часы специалист по криптовалюте опубликовал предупреждение сообщества, чтобы проинформировать ничего не подозревающих пользователей о том, что электронные письма CoinTelegraph, Token Terminal и команды De. Fi также были скомпрометированы, сигнализируя о том, что происходит масштабная и более изощренная фишинговая кампания. На момент публикации было украдено около 580 тысяч долларов.
После расследования Blockaid позже обнаружил, что злоумышленник «смог использовать уязвимость в поставщике услуг электронной почты MailerLite, чтобы выдать себя за компании web3».
Фишинговое мошенничество по электронной почте распространено среди кибермошенников, что заставляет пользователей с осторожностью относиться к наиболее подозрительным ссылкам или электронным письмам. В то же время компании и организации не советуют открывать ссылки, исходящие не из их официальных каналов. В данном случае злоумышленнику удалось обмануть огромное количество пользователей этих компаний, поскольку вредоносные ссылки поступали с их официальных адресов электронной почты.
Компрометация позволила злоумышленнику отправлять убедительные электронные письма с прикрепленными вредоносными ссылками, которые вели на веб-сайты, высасывающие кошелек. В частности, ссылки привели к нескольким вредоносным децентрализованным приложениям, использующим инфраструктуру Angel Drainer Group.
Злоумышленники, как объяснил Блоакэйд, воспользовались данными, ранее предоставленными Mailer Lite, поскольку эти компании ранее предоставили им доступ для отправки электронных писем от имени доменов этих сайтов, в частности, с использованием ранее существовавших записей DNS, как подробно описано внить:
Specifically, they used “dangling dns” records which were created and associated with Mailer Lite (previously used by these companies). After closing their accounts these DNS records remain active, giving attackers the opportunity to claim and impersonate these accounts. pic.twitter.com/cbTpc5MXu1
— Blockaid (@blockaid_) January 23, 2024
MailerLite объясняет нарушение безопасности
Объяснение позже пришло по электронной почте, где MailerLite пояснила, что расследование показало, что член их службы поддержки клиентов непреднамеренно стал начальной точкой компрометации. Как объясняется в электронном письме:
Член команды, отвечая на запрос клиента через наш портал поддержки, нажал на изображение, которое было обманчиво связано с мошеннической страницей входа в Google. Ошибочно введя там свои учетные данные, злоумышленники получили доступ к их учетной записи. Вторжение было случайно подтверждено членом команды посредством подтверждения на мобильном телефоне, посчитав это законной попыткой доступа. Это нарушение позволило злоумышленникам проникнуть в нашу внутреннюю панель администратора.
MailerLite также добавляет, что злоумышленник сбросил пароль для конкретного пользователя в панели администратора, чтобы еще больше закрепить несанкционированный контроль. Этот контроль дал им доступ к 117 учетным записям, из которых они сосредоточились только на учетных записях, связанных с криптовалютой, для атаки фишинговой кампании.
Анонимный пользователь Reddit опубликовал анализ ситуации и подробно рассмотрел транзакции злоумышленника. Пользователь рассказал:
Кошелек одной жертвы, по-видимому, потерял 2,64 миллиона токенов XB. Я показываю около 2,7 млн, находящихся в фишинговом кошельке 0xe7D13137923142A0424771E1778865b88752B3c7, а 518,75 тыс. ушло на 0xef3d9A1a4Bf6E042F5aaebe620B5cF327ea05d4D.
Пользователь заявил, что большая часть украденных средств находилась на первом фишинговом адресе. В то же время в протокол конфиденциальности Railgun было отправлено ETH на сумму около $520 000, и он полагает, что вскоре они будут перемещены через другой микшер или биржу.
ETH торгуется на уровне $2232,92 на часовом графике. Источник: ETHUSDT на TradingView.com.
