Fałszywi dziennikarze CoinMarketCap atakują dyrektorów firm kryptowalutowych w kampanii spear-phishingowej

Fałszywe profile dziennikarzy CoinMarketCap wykorzystywane w phishingu ukierunkowanym mają na celu atakowanie dyrektorów firm kryptowalutowych za pośrednictwem wywiadów na platformie Zoom, co stwarza ryzyko zainfekowania komputera złośliwym oprogramowaniem, kradzieży danych i utraty portfela.

Nowa kampania spear phishingu jest skierowana przeciwko kadrze kierowniczej branży kryptowalutowej za pomocą fałszywych próśb o wywiady. Atakujący podszywają się pod dziennikarzy powiązanych z CoinMarketCap , wykorzystując ich aktywne profile na stronie internetowej firmy, aby sprawiać wrażenie wiarygodnych.

Analitycy ds. zagrożeń zidentyfikowali kampanię spear phishingu skierowaną przeciwko kadrze kierowniczej branży kryptowalut. Atakujący wykorzystuje imię i nazwisko oraz zdjęcie byłego współpracownika CoinMarketCap, aby zbudować zaufanie.

W bezpośrednim kontakcie podszywająca się osoba potwierdziła, że ​​nie jest już powiązana z CoinMarketCap. Jednak jej imię i nazwisko oraz zdjęcie pozostają publicznie dostępne, co dodatkowo zwiększa wiarygodność próby phishingu.

Oszustwo działa w następujący sposób: osoby, które mają zostać objęte oszustwem, otrzymują wiadomość e-mail z zaproszeniem do udziału w wywiadzie dotyczącym innowacji Web3 . Wiadomość wydaje się pochodzić od zespołu CoinMarketCap, ale w rzeczywistości pochodzi z fałszywej, nierozpoznawalnej domeny skonfigurowanej wyłącznie do wysyłania wiadomości e-mail.

Te e-maile są napisane profesjonalnie i nie budzą żadnych podejrzeń poza samą domeną. Każdy z nich kończy się przyciskiem umożliwiającym zaplanowanie rozmowy na Zoomie za pośrednictwem Calendly, z zachowaniem oryginalnego brandingu CoinMarketCap.

Kiedy osoba zainteresowana dołącza do rozmowy, poznaje dwie postacie: Igora i Dirka (ten drugi podszywa się pod byłego redaktora CoinMarketCap, używając prawdziwego imienia i nazwiska tej osoby oraz jej zdjęcia profilowego wyświetlanego w aplikacji Zoom).

Po krótkim wstępie i krótkiej rozmowie Igor prosi osobę, z którą przeprowadza rozmowę, o zmianę języka aplikacji na polski, twierdząc, że w przeciwnym razie jego aplikacja do robienia notatek będzie działać nieprawidłowo. Rozmawia nawet ze swoim wspólnikiem, mówiąc coś w stylu: „Tak jak zrobiliśmy to ostatnio z inną rozmową. Dirk, pomóż mi też zmienić język na polski po swojej stronie”.

Następnie korzysta z okazji, by zapytać o system operacyjny celu, aby „pomóc zmienić język”. Ten proces prowadzi do ponownego uruchomienia Zooma, działającego teraz w języku polskim.

Rozmowa kwalifikacyjna zostaje wznowiona, a kilka minut później pojawia się okno dialogowe w języku polskim z dwiema opcjami, z których jedna jest podświetlona na niebiesko. Jest to standardowy komunikat Zooma: „Zdalny uczestnik chce przejąć kontrolę nad Twoim ekranem”.

Akceptacja przyznałaby atakującemu pełną kontrolę nad klawiaturą i myszą celu (wystarczającą do wdrażania złośliwego oprogramowania, wykradania plików lub kradzieży danych uwierzytelniających i portfeli kryptowalutowych) pod pozorem normalnej interakcji z aplikacją.

Atakujący wykorzystują funkcję zdalnego sterowania w Zoomie, ponieważ jest ona domyślnie włączona w wielu środowiskach korporacyjnych i często pozostaje niezauważona jako wektor ataku. Użytkownicy zazwyczaj nie spodziewają się, że Zoom będzie wykorzystywany w celach złośliwych i choć niektórzy mogą pomyśleć, że zauważą coś nie tak, większość jest rozproszona podczas rozmów.

W praktyce, po uzyskaniu dostępu zdalnego, wdrożenie złośliwego oprogramowania może zająć zaledwie kilka sekund: wystarczy otworzyć okno dialogowe, wkleić polecenie i nacisnąć Enter, aby zainfekować system. Ta taktyka okazała się bardzo skuteczna, szczególnie w ukierunkowanych atakach na profesjonalistów z branży kryptowalut, a znane ofiary i osoby wpływowe już publicznie ostrzegają przed tym zjawiskiem.

To podejście przypomina niedawną falę ataków ClickFix , w których ofiary są instruowane, aby samodzielnie wykonać kroki. Różnica polega na tym, że atakujący wykonuje procedurę bezpośrednio za pomocą pilota, co czyni ją znacznie bardziej niebezpieczną i nieprzewidywalną.

Domena: team-coinmarketcapcom

Domena: contact-coinmarketcapcom

Adres e-mail: dirk@team-coinmarketcapcom

Adres e-mail: no-reply@contact-coinmarketcapcom

Oryginalny Intelligence Pulse: https://otx.alienvault.com/pulse/688bdd12087cf39d39d15839