23 січня Wallet Connect та інші компанії web3 повідомили своїх користувачів про фішингову аферу з використанням офіційних електронних адрес компаній web3 для викрадення коштів із тисяч криптовалютних гаманців.
Масштабна фішингова кампанія
Wallet Connect знайшов X, щоб сповістити свою спільноту про авторизований електронний лист, надісланий з електронної адреси, пов’язаної з Wallet Connect. Цей електронний лист спонукав одержувачів відкрити посилання, щоб вимагати airdrop, однак посилання вело на шкідливий сайт і, як підтвердив Wallet Connect, воно не було надано безпосередньо командою чи будь-ким пов’язаним із ним. Wallet Connect зв’язався з компанією з безпеки та конфіденційності web3 Blockaid, щоб продовжити розслідування фішингового шахрайства.
We've detected a sophisticated phishing attack impersonating @WalletConnect via a fake email linking to a malicious dapp.
Blockaid enabled wallets are safe.https://t.co/quz9olGrpZ pic.twitter.com/TYS0BjIk2J
— Blockaid (@blockaid_) January 23, 2024
Протягом наступних годин криптовалютний детектив опублікував сповіщення спільноти, щоб повідомити необізнаних користувачів про те, що електронні листи CoinTelegraph, Token Terminal і команди De. Fi також були зламані, сигналізуючи про те, що відбувається масштабна та складніша фішингова кампанія. На момент публікації було вкрадено близько 580 тисяч доларів.
Після розслідування Blockaid пізніше виявив, що зловмисник «зміг використати вразливість у постачальнику послуг електронної пошти MailerLite, щоб видати себе за компанії web3».
Фішингові шахрайства електронною поштою поширені серед кібершахраїв, тому користувачі з обережністю ставляться до більшості підозрілих посилань або електронних листів. У той же час компанії та установи радять не відкривати посилання, які не надходять з їхніх офіційних каналів. У цьому випадку зловмиснику вдалося обдурити величезну кількість користувачів цих компаній, оскільки шкідливі посилання надходили з їхніх офіційних електронних адрес.
Компрометація дозволила зловмиснику надсилати переконливі електронні листи зі зловмисними посиланнями, які вели на веб-сайти, що вичерпують гаманець. Зокрема, посилання призвели до кількох шкідливих dApps, які використовують інфраструктуру Angel Drainer Group.
Зловмисники, як пояснив Bloackaid, скористалися даними, наданими раніше Mailer Lite, оскільки ці компанії раніше отримали доступ для надсилання електронних листів від імені доменів цих сайтів, зокрема, використовуючи вже існуючі записи DNS, як описано внитка:
Specifically, they used “dangling dns” records which were created and associated with Mailer Lite (previously used by these companies). After closing their accounts these DNS records remain active, giving attackers the opportunity to claim and impersonate these accounts. pic.twitter.com/cbTpc5MXu1
— Blockaid (@blockaid_) January 23, 2024
MailerLite пояснює порушення безпеки
Пізніше пояснення надійшло через електронний лист, у якому MailerLite пояснив, що розслідування показало, що член їхньої команди підтримки клієнтів випадково став початковою точкою компромісу. Як пояснюється в електронному листі:
Член команди, відповідаючи на запит клієнта через наш портал підтримки, клацнув зображення, яке було оманливо пов’язане з шахрайською сторінкою входу Google. Помилково ввівши там свої облікові дані, зловмисники отримали доступ до свого облікового запису. Вторгнення було випадково автентифіковано членом команди через підтвердження мобільного телефону, вважаючи, що це була законна спроба доступу. Це порушення дозволило зловмисникам) проникнути в нашу внутрішню панель адміністратора.
Крім того, MailerLite додає, що зловмисник скидає пароль для певного користувача на панелі адміністратора для подальшої консолідації неавторизованого контролю. Цей контроль дав їм доступ до 117 облікових записів, з яких вони зосередилися лише на облікових записах, пов’язаних з криптовалютою, для фішингової атаки.
Анонімний користувач Reddit опублікував аналіз ситуації та докладніше ознайомився з транзакціями зловмисника. Користувач відкрив:
Схоже, один жертва-гаманець втратив токенів XB на суму 2,64 млн. Я показую приблизно 2,7 млн, що знаходяться у фішинговому гаманці 0xe7D13137923142A0424771E1778865b88752B3c7, тоді як 518,75 К пішли на 0xef3d9A1a4Bf6E042F5aaebe620B5cF327ea05d4D.
Користувач зазначив, що найбільше вкрадених коштів було на першій фішинговій адресі. У той же час ETH на суму приблизно $520 000 було відправлено на протокол конфіденційності Railgun, і він вважає, що незабаром вони будуть переміщені через інший міксер або біржу.
ETH торгується на рівні 2232,92 доларів на погодинному графіку. Джерело: ETHUSDT на TradingView.com
