Descubren campaña de phishing a Bitcoin

Share this…

Desde el mes pasado, los atacantes han utilizado una combinación de phishing y secuestro de URL para desarrollar una campaña que busca robar bitcoins y credenciales de acceso a Blockchain.

Se han visto más de 100 dominios falsos de Bitcoin y Blockchain, algunos de ellos simulan ser carteras de bitcoin auténticas. La mayoría de los sitios se registraron el 26 de mayo y algunos de ellos continúan en aumento, lo que sugiere que la campaña está en sus comienzos.

Artsiom Holub, Dhia Majoub y Jeremiah O’Connor, investigadores de OpenDNS Security Labs, rastrearon las conexiones entre las direcciones IP, los servidores de dominio y los indicadores de Whois durante las últimas semanas para determinar el origen de la campaña.

Cyren, una firma de seguridad de Israel, mostró los primeros indicios en junio, cuando observaban el dominio blocklchain[.]info distribuyéndose por medio de una campaña de costo por clic en Google Adwords. Si un usuario era engañado para visitar el sitio, el cual era muy parecido al real, este entregaba sus credenciales de acceso a los atacantes.

Un día después de que Cyren publicara su investigación, OpenDNS fue más a detalle y encontró un ataque a blockchain-wallet[.]top. Al igual que el anterior, el ataque luce extremadamente similar alsitio legítimo de Blockchain, una popular base de datos de transacciones de bitcoins. El sitio, que incluso comparte el mismo logotipo y la barra de navegación de color verde azulado, todavía está activo, pero Google lo ha clasificado como un sitio engañoso, advirtiendo a los usuarios evitando así que los atacantes puedan usarla para conseguir que los usuarios revelen su información personal.

OpenDNS detectó una URL ofuscada de manera similar, blolkchain[.]com, conectada a la misma dirección IP tan sólo unos días después, el 13 de junio. Encontraron docenas de sitios sospechosos, incluyendo varios sitos falsos de Blockchain.

Las direcciones de bitcoin tienen que ser verificadas con Base58Check para evitar confusión entre caracteres como la letra O mayúscula y el número 0.  Tal como lo indican los investigadores, esta es la razón por la cual los sitios basan sus ataques en errores y confusiones de escritura.

Al poner más atención en las direcciones IP, los investigadores descubrieron que todas ellas comparten al mismo proveedor, el cual ha sido acusado previamente de almacenar contenido al que OpenDNS llama “contenido criminal y tóxico”. Algunas compañías desconocidas han utilizado estos servicios para desplegar pornografía infantil, modelaje con menores, mercancía falsa y sitios de phishing relacionados con Blockchain.

Los investigadores relacionaron los servidores de dominio con indicadores Whois para determinar seis correos electrónicos distintos utilizados para registrarse. Aún continúan en uso.

La noticia llega al mismo tiempo que el interés en las criptomonedas se retoma, el precio de los bitcoins ha incrementado asombrosamente en los últimos meses, una tendencia que podría estar relacionada con el incremento del ransomware. Cuando las víctimas de ransomware son atacadas, los pagos se solicitan con mucha frecuencia en bitcoins, en este tipo de situaciones, los usuarios regularmente reciben instrucciones de cómo comprar bitcoins para poder pagar por la recuperación de sus archivos.

Fuente:https://www.seguridad.unam.mx/